"GDPR е по-голям от Бийонсе" - с това заглавие Quartz описва все по-растящия интерес на потребителите от цял свят към регламента на ЕС за защита на личните данни.
Google Trends показва, че търсенията по абревиатурата GDPR са надминали със седем пункта глобалния интерес към Бийонсе, няколко дни преди промените да влязат в сила на 25 май.
Сравнението е впечатляващо, като се има предвид, че кралицата на поп- и R&B-сцената има над 100 милиона последователи само в Instagram, а Общият регламент за защита на данните е нормативен документ, разбираем за група лица, "просветени" по задължение.
Вниманието към GDPR е напълно оправдано: новите правила са задължителни не само за територията на съюза, но и за всички световни компании, които обработват или обслужват онлайн-данните на граждани на ЕС.
Това се отнася както за Google, Facebook, Apple, Amazon, Pinterest, застрахователи и банки, големите вериги за търговия с дрехи, самолетни билети или техника, но ще засегне и всеки дребен бизнес, който събира информация, идентифицираща личността на клиента си.
GDPR is bigger than Beyoncé https://t.co/KvXvrEDtth pic.twitter.com/rWPtslNayz
— Jason Karaian (@jkaraian) May 22, 2018
GDPR представлява задълбочена система от правила и рестрикции за търговците - от задължение за известяване на Комисията за защита на личните данни в 72-часов срок след евентуално хакване, до изискване за информиране на всеки потребител за вида, обема и причините за събирането на неговите данни.
GDPR се прилага директно, считано от 25 май 2018 г., без значение дали държавата има специфично приспособено законодателство в областта на личните днани.
Всички граждани и жители на страна-член от ЕС - включително България - имат правото да изискват достъп и възможност за преразглеждане на личните данни, които дадена компания притежава за тях.
Под "лични данни" се разбират както име, ЕГН, домашен/работен адрес, електронна поща, IP адрес, телефон и др., така и т.нар. "чувствителни" данни: расов и етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации, генетични данни, биометрични данни, данни за здравословното състояние, данни за сексуалния живот или за сексуалната ориентация.
Компаниите са длъжни да им отговорят в рамките на един месец.
Всяка компания е длъжна да изиска от потребителя си изрично разрешение дали може да събира и съхранява уникалните данни от активността му в сайта.
Потребителят - или "субектът на данни" - може да поиска от администраторите да се възползва от следните права:
- право на коригиране или допълване на неточни или непълни лични данни;
- право на изтриване (правото да бъдеш забравен) на лични данни, които се обработват незаконосъобразно или с отпаднало правно основание;
- право на ограничаване на обработването на данни;
- право на преносимост на личните данни и получаването им в структуриран, широко ползван и пригоден за машинно четене формат (отнася се само за данни, предоставени лично от субекта, както и лични данни, генерирани и събирани от неговата дейност);
- право на възражение за обработване на лични данни при условие, че не съществуват убедителни основания с предимство пред интересите, правата и свободите на субекта;
- право да не бъде обект на изцяло автоматизирано решение, включващо профилиране, което поражда правни последствия за субекта на данните или го засяга в значителна степен.
Това доскоро се изчерпваше с безалтернативното "право" на потребителя да кликне върху общ бутон "Съгласен съм" или да чете безкрайно дългите, сложни, обтекаеми и пълни с технологичен жаргон Правила за ползване. Много от тях не само са трудни за разбиране от масовия клиент, но и го принуждават да се съгласява с всевъзможни условия. Investopedia дава пример с портал за продажба на детски играчки, който събира данните за домашния адрес и телефоните за контакт на клиентите си, като ги препродава на маркетинг-фирми.
Целта на GDPR е да сложи край на тази потенциална злоупотреба с личното пространство на хората.
Ако не харесвате условията, при които данните ви се събират в даден сайт, имате право да оттеглите съгласието си - компанията ще се принуди да прекрати обработката на информацията под заплахата от глоба.
В някои случаи отказът ви може да доведе до невъзможност за пълноценно използване на съответната услуга - приложението Instapaper (инструмент за запазване на интересни статии, клипове и др. на едно място) например обяви, че спира временно обслужването на клиенти от ЕС, докато се справи с прилагането на изискванията.
Всеки администратор ще трябва да бъде в състояние да докаже, че съгласието на потребителя за предоставяне на личните му данни е "свободно изразено, конкретно, информирано, недвусмислено и изрично потвърдено". Мълчаливото съгласие вече не се приема за валидно.
Защитата на лични данни трябва да се гарантира с мерки като псевдонимизация или криптиране на данните, гарантиране на постоянна поверителност, цялостност и устойчивост на системите по обработването им, водене на архив за всички дейности по обработване на данни в автоматизираните системи, обучение на служители за работа с лични данни и др.
Проблемът е, че както изискванията, така и евентуалните наказания за целия легален бизнес са доста сериозни.
Общият регламент налага финансови глоби при нарушаване на задълженията по защита на потребителските данни. Дадена компания може да бъде санкционирана до 20 млн. евро или до 4% от общите глобални приходи при нарушаване на базовите принципи за обработване на информация - вкл. на условията за придобиване на валидно съгласие. За компания като Amazon това би означавало 7 милиарда долара.
GDPR дава възможност и на потребителите (субекти на данни) да претендират за компенсация, в случай че са налице имуществени или морални щети от нарушението.
Според анализ на Barclays социалните мрежи ще бъдат подложени на най-голям натиск от GDPR, доколкото обработват най-голям обем лични данни. Не се очаква да има значителен спад на приходите от реклама, но намаляването на броя потребители е по-скоро неизбежен. Според тях - средният месечен брой потребители на Facebook и Twitter вероятно ще започне да намалява в края на второто тримесечие на 2018 г.
Засегнати ще бъдат обаче и други технологични компании, търговци на стоки, здравни услуги, застрахователни и банкови институции и др.
За да се стигне до влизането му в сила на 25 май, ЕС даде 2-годишен период на имплементация за всички бизнеси. Вероятно всички са обърнали внимание на масовите онлайн-съобщения до потребителите с изискване за съгласие в последния месец преди изтичането на гратисния срок.
По данни на The Verge обаче, само до преди година 61% от компаниите по света изобщо не са започвали подготовката си за съответствие с GDPR. През януари 2018 г. изследване показа, че 1/4 от бизнесите в Лондон дори не са чували за Общия регламент за защита на личните данни.
Алисън Куул, която преподава антропология и информационни науки в Университета в Колорадо, написа статия за New York Times, в която нарича GDPR "практически неразбираем за хората, които се опитват да се стиковат с него". Основателят на PayPal Питър Тийл дори обвини ЕС в налагане на протекционистки режим като "наказание за САЩ от завист, че в Европа няма нито една успешна технологична компания".
Естествено, преди да се стигне до драстичните глоби, регулаторите в отделните страни имат право да издават предупреждения, порицания и заповеди за отстраняване на нередностите. Очаква се, че европейските служби ще прилагат по-облекчен режим за първите месеци от действието на регламента.
А и това се налага поради липсата на достатъчен ресурс на националните регулатори - по данни на Reuters 17 от 28 комисии за защита на личните данни признават, че нямат нужното финансиране или кадрови потенциал, за да се справят с евентуална "лавина" от сигнали на недоволни потребители.