Само две големи IT компании са били санкционирани от приемането на GDPR досега

3
582

Преди две години Европа въведе най-строгото законодателство за поверителност на данните в света, което касае всички компании, които по един или друг начин работят с потребителска информация с гражданите в държавите членки на ЕС, в това число и IT компаниите.

Общият регламент за защита на данните, широко известен като GDPR, е широкообхватен закон, предназначен да защитава правото на лична неприкосновеност на личния живот на европейските граждани. Той обещава да налага най-големите глоби за нарушения на защитата на данните, които някога са виждани досега: 20 милиона евро или до 4% от годишните приходи на компанията в световен мащаб от предходната финансова година, което от двете е по-голямо, само за допускането на едно нарушение на личните данни.

Днес се навършат две години от влизането в сила на GDPR, като според данните, Европейският Съюз е наложил само две глоби на големи технологични компании от Силициевата долина – първо на местния филиал на Facebook в Германия на стойност 51 000 евро, а втората на Google във Франция по повод нарушения в Android на стойност 50 милиона евро. Съвсем резонно е мнозина днес да се запитат – защо този толкова обещаващ закон е прилаган толкова рядко?

Липсата на очаквания огромен брой санкции подчертава някои от предизвикателствата, с които се сблъскват европейските регулатори, на които е възложено да гарантират, че големите технологични компании отговарят на GDPR. Докато компаниите от Силициевата долина се запасяват с армади от адвокати, голяма част от надзора по GDPR се пада само на една малка агенция с недостатъчно финансиране – Ирландската комисия за защита на данните, която е предвидена в европейското законодателство.

Тихите първи две години от приемането на GDPR създават фалшиво впечатление за влиянието, което законът имаше върху глобалната сцена. Законодателството повиши профила на ЕС сред регулаторите и законодателите по целия свят и вдъхнови въвеждането на аналогични регулации в държави като Бразилия и Индия, както и в Калифорния, където са концентрирани много от технологичните гиганти. ИТ компаниите трябваше да променят своите политики за поверителност и известяване не само в Европа, но и по целия свят, тъй като няма смисъл да спазват двоен стандарт за нивото на поверителността в различните държави, в които оперират.

Анализаторите на индустрията казват, че предстоят още ходове. Регулаторите просто отделят време, за да се уверят, че GDPR се спазва.

Когато възникне скандал свързан с поверителността на потребителите на някой голям интернет портал, всички погледи се насочват към Ирландия, номинираният регулатор на политиките и третирането на личните данни на компании като Apple, Facebook, Google и Twitter, както и на всички други предприятия. Поради приетият регламент за приемане и разглеждане на жалби за поверителността на територията на ЕС от Ирландската комисия, една малка кантора в страната жонглира с множество разследвания за всички онези титани, чиито имена срещаме ежедневно в новините – компании с огромна финансова и юридическа власт.

Към момента, Ирландската комисия провежда осем разследвания за поверителност за Facebook, три срещу Twitter, две в Apple, две в WhatsApp, който всъщност е собственост на Facebook, две в Google и едно в Instagram, която отново е собственост на Facebook.

„Много от най-големите технологични компании в света имат седалища, управления или поне центрове в Ирландия, която е избирана от тях поради множеството специфики в много аспекти на страната, които изграждат благоприятна среда.“, казва Пат Уолше, основател на консултантската служба по за защита на данните. От тази гледна точка, решението на ЕС да позиционира регулаторния си орган за спазването на GDPR в същата Ирландия определено има своя смисъл, но това, което е пропуснато при нея, е че не достигат юристи, специалисти и финансиране, които да се занимават обективно и максимално с всяко едно дело или разследване.

Едно от предизвикателствата на Ирландската комисия е огромният обем на случаите, които служителите трябва да преглеждат или по-точно недостига на финансиране, според ръководителите на Комисията. Броят на случаите срещу големите ИТ компании може да не ви се струва значително голям, но при всеки един служителите трябва да прегледат огромен масив от данни, да се запознаят с много специфични условия, да проведат десетки и понякога дори стотици различни проверки на техническо и потребителско ниво, за да съберат доказателства и да стигнат до заключения, на база на които да има санкции или приключване на случая.

„В никакъв случай не бих приел липсата на наложени глоби от Ирландската комисия като бездействие по отношение на GDPR. Сигурен съм, че правят всичко възможно, което им позволява бюджета, с който разполагат“, заяви Алекс ван дер Уолк, съпредседател на глобалната комисия за защита на личните данни и сигурността в Morrison & Foesters.

По-рано тази година, компанията стояща зад браузърът, насочен към защита на потребителската неприкосновеност, Brave, публикува доклад, в който разглежда финансирането на регулаторите в цяла Европа. DPC (Комисията по GDPR) в Ирландия беше на седмо място по най-добро финансиране в ЕС, но това далеч не означава, че средствата ѝ са достатъчни – бюджетът на Агенцията е от едва 16,9 милиона евро, които изглеждат смехотворно предвид най-добре финансирания регулатор в Обединеното кралство, Националната информационна служба, която има почти четири пъти по-голям бюджет.

„GDPR е много гъвкав и същевременно наистина справедлив за неща, които трябва да обхванат всички големи технологични компании и в същото време уебсайтове и фирми, чиито екип се състои дори от един човек“, казва Катрин О’Кийф, директор по обучението в Castelbridge.

„DPC получава по-малко финансиране от ирландското правителство, отколкото спортните комисии на страната например“, казва политическия директор Джони Райън, позовавайки се на статия, открита от Дараг О’Брайън от ирландската консултантска агенция за поверителност на данните Кастълбридж.

Според Уолше, DPC се нуждае от „значително по-голямо финансиране“. Само при такива условия ще има шанс да се утвърди като център за високи постижения в областта на сигурността на технологиите в Европа и дори в света – нещо, което той смята за силно необходимо предвид факта, че много европейски регулатори на данни нямат специализирани звена, които да проверяват и разследван технологичните компании.

В изявлението си, самата DPC отбелязва, че финансирането ѝ през последната година се е увеличило значително, което ѝ е позволило да увеличи обема на персонала си до 175 служители през тази година, спрямо едва 30 през 2014 г. (тогава GDPR все още не е бил приет и Агенцията не е имала такъв ангажимент към ЕС). „Въпреки това, този растеж ще трябва да продължи и ще търсим допълнително финансиране за следващата година, което да ни даде възможност да увеличим още персонала“, добави той.

През октомври комисарят по защита на личните данни на Ирландия Хелън Диксън изрази разочарованието си, че КРС е предоставила по-малко от една трета от допълнителното финансиране, което е поискала страната от бюджета, и заяви, че ръководителят ще бъде принуден да преоцени разпределението на разходите си през 2020 г. в резултат на това.

„Това е нещо, което предизвиква голямо притеснение. Недостатъчното финансиране на регулаторите е системно срещано в цяла Европа. Така че, това е нещо, което много бързо може да се превърне в криза през следващите години, ако не се справим с проблема.“

Липсата на санкции от Ирландия срещу технологичните гиганти осуетява някои от целите на GDPR и неговите защитници, които искат да покажат на света, че строгите регламенти могат да имат значително въздействие върху частните мулти милиарди корпорации с неограничена власт. Германският федерален комисар за защита на данните Улрих Келбер по-рано тази година каза, че DPC в Ирландия има „непоносима неспособност да предприема предвидените в GDPR мерки при реални нарушения“.

Вместо да се оставя цялата тежест върху Ирландия, Келбер предложи за GDPR да се използва общоевропейски подход.

Диксън отхвърли критиките на Келбер в интервю пред Ню Йорк Таймс и защити DPC като заяви, че Келбер не отразява реалните резултати, които санкциите в съответствие в GDPR са донесли в някои държави в ЕС.

5 2 гласа
Оценете статията
Абонирай се
Извести ме за
guest
3 Коментара
стари
нови оценка
Отзиви
Всички коментари