Изминаха две години и половина, откакто ЕС започна да прилага Общия регламент за защита на данните GDPR, новият закон вече е познат на всички. Пробивите костват на нарушителите все повече. Предстоят и още по-големи глоби за тези, които не опазват личните данни.
Нов доклад от екипа за защита на данните на адвокатска кантора DLA Piper, публикуван по повод Деня на защита на данните на Съвета на Европа, сочи, че през изминалата година са наложени глоби в размер на 193,4 милиона долара във връзка с нарушения на GDPR. Това прави почти 40% увеличение в сравнение с предходните 20 месеца от влизането в сила на новата норма. Общите отчетени глоби от началото на прилагането на GDPR достигат 332 милиона щатски долара.
Броят на уведомленията за нарушения също нараства, отбелязва ZDNet. Отчитат се близо 331 нарушения на данни на ден за последните 12 месеца – в сравнение с 278 нотификации дневно през предходната година. Общо от май 2018 г. досега са се натрупали повече от 281 000 известия за пробиви.
Дейностите, свързани с изискванията на GDPR, набират скорост бързо, отчитат анализаторите. Но въпреки, че нормата представлява единен набор от регулации, който би трябвало да се прилага еднакво за всички страни, реалността е различна. Оборудвани с различни човешки, финансови и технически ресурси, различните държави имат различни подходи за прилагане на закона.
Несъответствията се виждат в цифрите. Докато Германия е отговорна за 77 747 уведомления за нарушения след стартирането на GDPR, Италия е регистрирала само 3460 уведомления за същия период. Тази статистика, според експертите, би могла да е свързана и с културни различия. От съществено значение е как GDPR се тълкува в различните страни, казват специалистите.
Най-солените глоби, наложени до момента, са:
1. Google – 50 млн. евро – санкцията е основана на множество клаузи от закона, като цяло е свързана с липсата на яснота за това как се обработват данните на потребителите и липсата на средства за контрол, които те могат да използват за управление на начините на използване на данните
2. H&M – 35 млн. евро – за следене на служителите и записване на информация за тях, включително лична информация като семейни проблеми, религиозни вярвания и др.
3. TIM – 27,8 млн. евро – италианският телеком бе наказан заради боравене с лични данни в „твърде агресивна маркетингова стратегия”, при която голям брой клиенти са били бомбардирани с обаждания за промоции и друга нежелана комуникация.
4. British Airways – 22 млн. евро – при хакерски пробив са откраднати личните данни на над 400 000 човека, включително данни за логин, информация за платежни карти, имена и адреси.
5. Marriott – 20,4 млн. евро – данните на 383 милиона гости на хотелската верига, сред които 30 милиона жители на ЕС, са откраднати след хакване на резервационната система на веригата – откраднати са имена, адреси, номера на паспорти, номера на кредитни карти.
6. Wind – 17 млн. евро – глобата е заради нелегални маркетингови дейности – спам с реклами, за който се е оказало невъзможно потребителите да се откажат или отпишат.
7. Google – 7 млн. евро – шведският регулатор глоби голямата фирма заради нарушаване на „правото да бъдеш забравен”.
8. AOK – 1,24 млн. евро – заради лотария с използване на потребителска информация.
9. BKR – 830 хил. евро – санкцията е заради решението на компанията да наложи такса за достъп на потребителите до техните лични данни, съхранявани от организацията.
10. Iliad Italia – 800 хил. евро – глобата е отново заради злоупотреба с лични данни с цел маркетингови дейности.
Докладът на DLA Piper отбелязва, че в много от случаите решенията за санкции са обжалвани и това е довело до значително намаляване на размера на глобата. Това означава, че регулаторите „не са направили всичко по правилния начин”. Според анализаторите обаче е въпрос на време регулаторите да изградят достатъчно увереност, за да прилагат по-решително и правилно GDPR законите.
Но въпреки, че засега сумите са само малък процент от това, което биха могли да бъдат, възпиращият ефект на GDPR вече е видим и той не трябва да се подценява. Най-силно влияние има репутационният аспект. Фирмите са наясно, че ако бъдат глобени, парите са само малка част от санкцията – опетняването на доброто име е по-голямата „глоба”, ведно със срива на доверие, който идва след такава новина. Затова GDPR се възприема изключително сериозно сред бизнеса.
Нещо повече: регулаторите в ЕС имат и редица наказателни мерки, които могат да използват наред с глобите, за да се уверят, че компаниите променят лошите си практики за обработка на данни.
В този все още „развиващ” се пейзаж около GDPR друга причина бизнесът да остане предпазлив е възможността за поява на нови и по-строги правила в бъдеще. Едно текущо дело във Великобритания, наречено „Lloyd срещу Google”, вероятно ще бъде проследено отблизо от много организации, защото ще изиграе знакова роля.
„Всички погледи са насочени към това дело, за да се види има ли основания”, обясняват анализаторите. Ако делото има успех, глобите ще са само малка чат от главоболието, защото те ще пребледнеят в сравнение с ефекта от кумулативните искове за вреди.
Накратко, всяка организация, обработваща данни в държави, където се прилага GDPR, трябва да е крайно предпазлива. А GDPR тепърва ще става по-голям и по-страховит.
Не виждам НАП в списъка …..