Абревиатурата GDPR излизаше в страховити заглавия почти през цялата първа половина на миналата година. Общият регламент на ЕС за защита на личните данни влезе в сила на 25 май 2018 г. и ако се вярваше на предхождащите го публикации, щяха да завалят гигантски глоби върху „лошите“ фирми, организации и институции, които злоупотребяват с личните данни на потребителите. Той беше обявен като „революция“ в защитата на лични данни и основната му цел беше да „овласти“ потребителите и да им даде повече възможности за контрол над техните лични данни. Както и да отговори на притесненията на Брюксел, свързани с това какво правят технологични гиганти като Facebook, Google и Apple с масивите от данни, които събират.
Потребителите получиха правото да бъдат информирани за това какви техни данни се събират, за какво се използват, както и да бъдат „забравени“ – всички техни данни да бъдат изтрити. Но най-впечатляващи бяха стряскащо високите санкции – достигащи до €20 млн. или 4% от оборота на компаниите, в зависимост от това кое е по-високо.
Каква е равносметката от прилагането на акта година по-късно? Определено повишаването на информираността за личните данни сред потребители, бизнес и организации е нещо, с което създателите на регламента могат да се похвалят. „Позитивното е, че все повече хора и експерти, чиято работа е само косвено свързана със защита на данните – както в IT, така и в юридическите фирми, вече знаят базови понятия за тази защита. Това е добре, защото в своите продукти и услуги и вътрешната практика вземат предвид принципите за защита на данните, което е дългосрочната идея на регламента“, казва технологичният експерт Божидар Божанов.

ФЕНОМЕН: Заради заливането ни със съобщения за изискване на съгласие, вече никое
съгласие не е свободно дадено, смята Божидар Божанов
Проучване Eurobarometer, разпространено миналата седмица, показва, че 67% от жителите на ЕС са чули за GDPR, а 57% знаят за съществуването в страната им на обществена институция, която е отговорна за защитата на правата им, свързани с личните данни. Макар и само 20% да знаят точно коя е тази институция в съответната държава.
„Колкото и да имаше реклама на GDPR като регламент, който променя нещата фундаментално, той всъщност малко разширява предходната директива. Най-съществената промяна беше в максималния размер на глобите, което доведе и до това, че в момента говорим за него, а не беше отметнат като поредната европейска регулация“, смята Божанов.
Дали технологичните гиганти като Facebook и Google се стреснаха от глобите и промениха политиките си? Моментът на влизане в сила на GDPR съвпадна със скандала с компанията Cambridge Analytica, която беше използвала лични данни на почти 90 млн. потребители на Facebook със съгласието на мрежата, за да ги използва за политическа реклама в кандидатурите за президент на Тед Круз и Доналд Тръмп през 2016 г. Което също добави за високия интерес към разпоредбите.
Според Европейската комисия за последната година в администрациите за защита на личните данни са подадени 144 376 запитвания и оплаквания от граждани на ЕС. Най-честите са свързани с жалвания от телемаркетинг, промоционални имейли и видеонаблюдение. Най-голямата санкция е наложена на Google - €50 млн. от ирландския регулатор за защита на личните данни заради неполучаване на съгласие, свързано с изпращане на рекламно съдържание. Компанията обжалва санкцията.
„Във Facebook имат вградена некомпетентност по много въпроси извън монетаризирането на реклами“, смята Божидар Божанов, като припомня, че скоро имаше пореден скандал със социалната мрежа, защото искала парола за достъп до електронна поща на потребител, за да получи достъп до контактите му. Но в процеса Facebook обяснява, че го прави, за да повиши сигурността на акаунта, въпреки че на практика извлича контактите. Това означава, че експертите в компанията, одобрили тази опция, изобщо не са чели GDPR и нямат представа каква е основната идея на регламента – хората да знаят какво се прави с данните им и защо ги обработват, обяснява Божанов.
Досега санкциите на ниво ЕС не са големи, но социалната мрежа обяви в отчета си за последното тримесечие, че очакваният размер на глобата по разследването на ирландския регулатор може да достигне между $3 млрд. и $5 млрд.
В БългарияПрактиката на Комисията за защита на личните данни за последната година показва, че през 2018 г. са получени 780 жалби, подадени от граждани с твърдения за нарушения на правата им при обработване на лични данни. Това е доста повече от постъпилите през 2017 г. 480 жалби, като само след датата 25 май 2018 г. са подадени 531 броя. Комисията се е произнесла по 51 от тях след влизането в сила на GDPR, 37 са приключили с административно наказание, като по тях са наложени санкции и глоби за 365 300 лева. Издадени са 12 задължителни предписания, а по 42 жалби КЗЛД е упражнила новите си правомощия по GDPR да отправя предупреждения или да разпорежда.
Най-големите санкции са наложени на т.нар. администратори на лични данни, които обработват данни, без да имат законово основание. За 9 такива нарушения са наложени санкции за 95 600 лева. По една от тях „Топлофикация София“ е глобена с 10 000 лв., защото е завела дело за неплатена топлоенергия срещу човек, който никога не е живял на посочения от компанията в иска адрес. В случая има съвпадение на имената, но от „Топлофикация“ са изпратили иск на човек с различно ЕГН от това на реалния длъжник.
Засегнатият е сезирал КЗЛД, защото е искал да разбере на какво основание длъжностните лица имат достъп до неговите лични данни, след като той никога не е бил клиент на дружеството.
Всъщност високите глоби са нож с две остриета, защото могат да доведат до отлив на по-малки компании от европейския пазар. Пример за това е решението на някои американски медии, сред които в. „Ю Ес Ей Тудей“, които след 25 май 2018 г. прекратиха разпространението на пълното си електронно съдържание в ЕС, като пускат съкратен вариант само с по десетина статии дневно.
Но може би най-негативният ефект от влизането в сила на GDPR е облъчването на потребителите с изскачащи прозорци за съгласие за използване на т.нар. проследяващи бисквитки, които сайтовете използват, за да таргетират реклами. Често даже се прекратява достъпът до съдържание при отказ за „бисквитки“ – нещо, което е недопустимо по изискванията на регламента. Кликането и отмятането на съгласия или избор на рекламни доставчици понякога е толкова натоварващо, че за него дори има специален термин – неологизма consent fatigue (умора от съгласие).
Парадоксът е, че в повечето случаи не е необходимо искането за съгласие, защото потребителят, който влиза анонимно, без да се логва или да създава акаунт с лични данни, изобщо не попада в обхвата на GDPR. Но и на това има решение. „Бисквитките“ попадат в обхвата на ePrivacy директивата (Директива 2002/58/ЕО), която в момента се обновява, и тези съгласия ще минат на ниво браузър. Потребителят ще прави едни настройки и няма да се налага да дава съгласие за всеки сайт поотделно.
Въпросът със съгласието е и философски, смята Божидар Божанов, защото GDPR задължава съгласието да бъде давано свободно. Само че с тези прекалени изисквания за съгласие за щяло и нещяло човек просто иска да цъкне някъде, за да му се махне изскачащият прозорец от главата. И така не може реално да прецени кога от неговото съгласие – или несъгласие – може да получи облага или вреда, предупреждава експертът.
Текстът е публикуван в брой 21 /2019 г. на списание "Икономист" от 31 май, който може да закупите в разпространителската мрежа в страната.
Вижте какво още може да прочетете в броя