Изминали са хиляда четиристотин петдесет и девет дни, откакто организацията с нестопанска цел за защита на данните NOYB подаде първите си оплаквания съгласно водещия европейски регламент за защита на личните данни GDPR. В оплакванията се твърди, че компании като Google, WhatsApp, Facebook и Instagram са принудили потребителите си да им предоставят огромно количество от личната си информация, в това число и много лични данни в реално време, без обаче те да са дали изричното си съгласие за това и да са имали друг избор, както става ясно от думите на Ромен Робърт, програмен директор в организацията с нестопанска цел. Жалбите бяха подадени на 25 май 2018 г.. в деня, в който GDPR влезе в сила и обеща да защитава поверителността на над 740 милиона европейци. Четири години по-късно от организацията все още чакат окончателните решения да бъдат взети. И организацията не е единствената.
Откакто Общият регламент за защита на данните влезе в сила, регулаторите, които се занимават с въпросите за защита на личните данни, се борят да действат бързо и решително по оплаквания срещу големи технологични гиганти и мътната онлайн рекламна индустрия. Макар и съгласно GDPR вече да са издадени множество огромни парични санкции и да са взети някои полезни за потребителите решения, десетки случаи все още не са решени. Въпреки че GDPR неизмеримо подобри защитата на поверителността на милиони хора в и извън Европа, регламентът все още не елиминира най-лошите проблеми с поверителността – брокерите на данни все още съхраняват огромни бази данни от информация, които продават, а индустрията за онлайн реклама остава пълна със злоупотреби.
Сега различни организации в защита на гражданското общество се разочароват от неефективността на органите, които се произнасят за нарушенията на GDPR, докато регулаторите на някои държави се оплакват, че системата за обработка на международни жалби значително забавя правоприлагането. За сравнение, информационната икономика се движи с главоломна скорост.
„Да се кажe, че GDPR се прилага добре, би било грешка. Не се прилага толкова бързо и ефективно, колкото мислехме, че ще бъде“ казва Робъртс. NOYB от своя страна заведе съдебно дело срещу забавянето на жалбите. „Все още множество пропуски в прилагането на регламента и проблеми с трансграничното му прилагане, както и с прилагането му спрямо големите играчи в индустрията“, добавя Дейвид Мартин Руси, старши правен служител на Европейската организация на потребителите, която подаде жалбите относно проследяването на местоположението от страна на Google преди четири години.
Законодателите в Брюксел за първи път предложиха реформиране на европейските правила за данни още през януари 2012 г. и приеха окончателния закон през 2016 г., давайки на компаниите и организациите две години да започнат да прилагат и да се адаптирах към новите правила. GDPR се основава на предишни нормативни актове за регулиране на поверителността на личните данни на потребителите, като засилва техните права и променя начина, по който бизнесите следва да обработват личната информация – като имената на потребителите, техните IP адреси и други. Регламентът не забранява използването на потребителските данни в определени случаи, като например за целите на полицейските разследвания и лицевото разпознаване. В регламента са формулирани седем основни принципа, които ръководят компаниите в това как могат да съхраняват, обработват и използват потребителските данни. Тези принципи се прилагат еднакво за неправителствени, благотворителни организации, малки и големи частни бизнеси и правителствени структури.
Най-важното е, че GDPR предвижда и тежки санкции за нарушаването на тези принципи и дава на регулаторите на всяка европейска държава да налага глоби в размер на до 4 процента от глобалния оборот на компанията и да нарежда на компаниите да прекратяват практики, които нарушават принципите. В много от случаите различните предписания и нареждания, които могат да бъдат издадени спрямо някоя компания по повод начина, по който събира и третира потребителските данни могат да имат значително по-голям ефект, отколкото просто налагането на парични санкции. Разбира се, никой не е очаквал, че глобите и санкциите при нарушения на разпоредбите на GDPR ще се издават от регулаторите бързо – предвид сложността на някои казуси разглеждането може да протече и в рамките на десетилетия. Но силно разочароващ е факта, че четири години след подаването на жалбите от NOYB все още никой не се е произнесъл по тях.
Предвид големия набор от разпоредби и правила, които са включени в GDPR, жалбите срещу дадена компания, която оперира в множество държави от ЕС, обикновено се разглеждат от държавата, в която се намира нейното основно европейско седалище. Този така наречен „процес на едно гише“ диктува, че следва държавата, в която са базирани европейските седалища на компаниите, да разглежда казусите. Така малката нация Люксембург обработва жалби срещу Amazon, Холандия се занимава с Netflix, Швеция със Spotify, а Ирландия отговаря за Facebook, WhatsApp, Instagram и компанията майка Meta, както и всички услуги на Google, Airbnb, Yahoo, Twitter, Microsoft, Apple иLinkedIn.
Тъй като дни след влизането на регламента в сила бяха подадени множество жалби по сложни и мащабни казуси, това доведе до натрупване на разследвания в регулаторните органи, като особено силно се усеща натоварването в ирландския регулаторен орган, поради факта, че голям набор от технологичните гиганти регистрират европейските си седалища в страната. Допълнително международното сътрудничество между регулаторните органи на отделните държави бива забавено от различни бюрократични спънки. От май 2018 г. ирландският регулаторен орган е приключил 65 процента от казусите, свързани с трансгранични решения. 400 от жалбите са нерешени, според собствената статистика на регулатора. Други разследвания задействани след сигнали на NOYB, като например тези срещу Netflix, Spotify и PimEyes също се проточват с години.
Европейските регулатори на данни твърдят, че прилагането на GDPR все още назрява и че работи добре, като разследванията и прилагането на регламента се подобряват с времето.
Интересен е фактът, че колкото повече време изминава от приемането на Регламента, толкова повече се увеличава броя на глобите, достигайки общо до 1,6 милиарда евро. Най-голямата санкция издадена по силата на GDPR до този момент е срещу Amazon на стойност от 746 милиона евро. Също Ирландия глоби WhatsApp с 225 милиона евро миналата година. И двете компании обжалват решенията. В същото време една по-малко известна белгийска глоба може да промени начина, по който работи цялата индустрия за рекламни технологии. Служителите обаче признават, че промените в начина на прилагане на GDPR биха могли да ускорят процеса и да осигурят по-бързо действия.
Хелън Диксън е ключова фигура в прилагането на GDPR в Европа като главен комисар на Ирландската комисия за защита на данните. Регулаторният орган се сблъсква с много критики, че не успява да се справи с броя на жалбите, които са в неговата компетентност, като предизвиква и гнева на множество други регулаторни органи, довеждайки до редица призиви за реформиране. „Ако всички казуси, които трябва да разгледате, идват едновременно, очевидно ще изоставане по отношение на приоритизирането и последователното справяне с проблемите, като същевременно е възможно да се допуснат и нарушения по отношение на правната рамка“, казва Диксън, защитавайки представянето на институцията си. Диксън казва, че регулаторният орган е трябвало да се справи със сложността на GDPR от нулата, което води до много ситуации, за които няма как да се намерят бързи и прости решения.
„Бих определил Ирландският регулаторен орган като много ефективен през първите четири години от прилагането на GDPR“, казва Диксън. „Фактът, че регулаторът създава нова правна рамка, която мнозина описаха като „закон за всичко“ за няколко години и приложи много значителни санкции под формата на глоби и коригиращи мерки още през този период от време, показва значителните постижения“, казва Диксън. За времето, през което действа, организацията е наложила множество санкции срещу Twitter, WhatsApp, Facebook, Groupon и много други компании.
„Трябва да има независим одит на това как да се реформира и укрепи Ирландският регулаторен орган за защита на поверителността“, казва Джони Райън, старши сътрудник в Ирландският съвет за граждански свободи. „Не можем да знаем отвън какви са проблемите.“ Райън добавя, че вината не може да бъде насочена само към ирландския регулатор. „Европейската комисия има огромни правомощия. Предполага се, че GDPR е огромен проект. И Комисията е пренебрегнала GDPR“, казва той. Според него трудната позиция на ЕК произхожда от това, че тя не само предлага и приема закони, но и също така трябва да следи за тяхното прилагане.
Към момента Европейската комисия подкрепя прилагането на GDPR в Ирландия и на целия континент. „Комисията последователно призовава органите за защита на данните да продължат да засилват усилията си за правоприлагане“, казва в изявление Дидие Рейндерс, европейски комисар по правосъдието. „Започнахме шест процедури за нарушения съгласно GDPR. Тези съдебни дела включват действие срещу Словения за това, че не е внесла GDPR в националното си законодателство и поставя под въпрос независимостта на белгийския орган за данни.“
Въпреки това, след жалба от Райън през февруари, омбудсманът на ЕС, орган за наблюдение на европейските институции, започна разследване за това как Комисията наблюдава защитата на данните в Ирландия. Омбудсманът казва, че Комисията е трябвало да отговори до 25 май, след като е поискала удължаване на първоначалния срок. Ако Комисията все пак разгледа Ирландия, тя може да направи някои препоръки, казва Естел Масе, глобален лидер по защита на данните в Access Now, организация за граждански права, фокусирана върху технологиите. „Има проблем и ако не се намесите по този начин, всъщност не виждам как бихме могли да разрешим ситуацията“, казва Масе. „Трябва да преминем през това в условия на колективно разглеждане.“
Държавите от ЕС са взели решения в хиляди местни казуси и са издали насоки на организациите да кажат как трябва да използват данните на хората. Испанската футболна лига LaLiga беше глобена, след като приложението ѝ шпионира потребители, търговецът на дребно H&M беше глобен в Германия, след като стана ясно, че съхранява данни за личния живот на служителите, а данъчният орган на Холандия беше глобен за използването на „черен списък“ и това са само част от казусите, по които е имало силни и влиятелни решения, основани на GDPR.
Част от въздействието на GDPR също остава скрито – законът не се използва само за издаване на глоби и предписания какво компаниите следва да променят, а да подобри цялостното поведение и политики на компаниите. „Ако сравните осведомеността за киберсигурността, за защитата на данните и за поверителността спрямо нивото днес и това преди 10 години, ще откриете, че сега живеем в един напълно различен свят“, каза Войчех Вовюровски, европейски представител на органите за защита на данните.
Множество експерти и анализатори казват, че GDPR все пак е имал и своето положително влияние, тъй като е повлиял на това множество компании да спрат да използват данните на хората по съмнителни начини – влияние, което трудно би могло да бъде оказано преди влизането в сила на Общия регламент. Едно скорошно проучване изчислява, че броят на приложенията за Android в магазина на Google Play е спаднал с една трета след въвеждането на GDPR, като част от обясненията за това какво е предизвикало ефекта, е по-добрата защита на потребителската поверителност.
„Все повече и повече фирми заделят значителни бюджети за спазване на изискванията за защита на данните“, казва Хейзъл Грант, ръководител на групата за поверителност, сигурност и информация в юридическата кантора Fieldfisher със седалище в Лондон. Грант казва, че когато се вземат решения по GDPR – като решението на Австрия да направи използването на Google Analytics незаконно – компаниите са загрижени какво означава това за тях. „Преди четири или пет години това прилагане нямаше да се случи“, казва Грант. „И ако се беше случило, може би няколко адвокати по защита на данните щяха да знаят за това – нямаше да има клиенти, идващи при нас, казвайки, че имаме нужда от съвет по този въпрос.“
Но на нивата на големите технологии, където данните са в изобилие, мащабът на спазване на GDPR е различен. Един скорошен вътрешен документ на Facebook, получен от Motherboard, намеква, че компанията всъщност не знае какво прави с потребителските данни – твърдение, което Facebook отрече по това време. По същия начин съвместно разследване на WIRED и Reveal в края на 2021 г. установи сериозни недостатъци в начина, по който Amazon обработва клиентски данни. (Amazon каза, че има „изключителен” опит в защитата на данни.)
„Има изоставане, особено по отношение на големите технологии, прилагането на закона за големите технологии – техните случаи са трансгранични, а това означава „разглеждане на едно гише“ и сътрудничество между органите за защита на данните“, казва Улрих Келбер, ръководителят на германския федерален регулатор за защита на данните. Тази процедура позволява на всички европейски регулатори да имат думата за окончателното решение на водещия регулатор в този случай, което след това може да бъде оспорено. Глобата на Ирландия срещу WhatsApp нарасна от първоначално предложената санкция от едва 30 милиона евро (31,8 милиона долара) до 225 милиона евро (238,5 милиона долара), след като други регулатори дадоха своите становища. В момента се обсъжда друго ирландско дело срещу Instagram, казва Диксън, което обаче навярно също ще се проточи с месеци, докато се постигне краен резултат.
Следва продължение.