Европейският регламент за защита на личните данни (GDPR) ще влезе в сила на 25 май, но никой не е готов – нито компаниите, нито дори регулаторите.


След години на обсъждане GDPR беше официално приет от Европейския съюз през 2016 г. Регламентът даде на компаниите двугодишен срок, за да приведат дейността си в съответствие с него, което теоретично е достатъчно време за промяна. Реалността е много по-лоша. Както е при подаването на данъчни декларации, има два вида хора – едните го правят рано, другите са всички останали.


При вчерашното си изслушване пред Европейския парламент Марк Зукърбърг каза, че Facebook ще изпълни правилата в GDPR до крайния срок. Дори и успее обаче, компанията ще е една от малкото направили го. „Много малко компании ще бъдат на 100% съответстващи на 25 май”, смята Джейсън Стрейт, адвокат и главен секретар по поверителност в United Lex – компания, изготвяща програми за съответствие с GDPR за останалите фирми. „Компаниите, особено американските, определено работят трескаво през последния месец, за да се подготвят”, добавя той. В проучване сред над 1000 компании, проведено от института Ponemon през април, половината от фирмите са казали, че няма да успеят да спазят крайни срок. Разбивка на фирмите по отрасли показва, че 60% от технологичните компании смятат, че няма да са готови навреме.

 

GDPR е амбициозен набор от правила, включващи изисквания за уведомяване на регулаторите при изтичане на лични данни (в рамките на не по-малко от 72 часа) и за прозрачност пред потребителите какви данни за тях се събират и за какво се използват. Според Джейсън Стрейт в продължение на години компаниите единствено са мислели как да подмамят потребителя да им даде възможно най-много от данните си, а впоследствие са се замисляли за какво точно ще използват тази информация. Това обаче вече няма да е приемлив начин на работа според GDPR.


Юристът добавя, че много компании при обсъждането на новия европейски регламент са казали: „Вие шегувате ли се? Ако им кажем (на потребителите) как ще използваме данните им, те никога няма да ни ги дадат”. Отговорът на Стрейт е прост: „Да, отчасти това е целта”.


Правилото в GDPR, което най-много кара заинтересованите да си скубят косите, обаче е изискването да се изпраща молба до потребителя за обработка на данните му. Гражданите на ЕС имат правото да искат достъп да видят личната информация, събрана от компаниите за тях. Тези потребители – наречени „субекти за данни” на езика на GDPR – могат да поискат въпросната лична информация да бъде изтрита или редактирана, ако е невярна. Те дори могат да си я получат под формата на файл, който да могат да копират, изпращат и т.н. Информацията обаче може да се съхранява на пет различни сървъра в най-различни формати. А може компанията дори да не знае, че е събрала определени данни. Затова голяма част от привеждането в съответствие с GDPR е промяна във вътрешните IT инфраструктури на компаниите, за да могат да обработват и отговарят на потребителските искания.


Отчасти проблемът е как са устроени компаниите, отчасти, че понятието „лична информация” е мъгливо. Имена, имейл адреси, телефонни номера, данни за местоположението – тези са очевидни. Но има и някои по-двусмислени данни, каквито са препратките, като например „висок плешив мъж, живеещ на улица „Изток 18”. „Ако някой напише това в имейл, това може да е информация, за която според правилата в GDPR трябва да е подадена молба за предоставяне”, коментира Стрейт.


За фирмите, които досега са действали на принципа „извличай колкото се може повече данни и го мисли после”, реорганизацията на дейността според изискванията на новия европейски регламент ще е все едно вехтошар да трябва да изхвърли ненужното му – няма да успее да прецени кое е то и накрая ще изпадне в истерия.


Това до някаква степен ще е неизбежно. Според проучване от преди година 61% от компаниите дори не са били започнали с изпълнението на правилата в GDPR. По-добра е ситуацията единствено при фирмите от европейски държави (Германия и Великобритания например), чиито закони се припокриват с изискванията на новия регламент. Въпреки това проучване от януари тази година е показало, че една четвърт от фирмите в Лондон дори не знаели какво е GDPR.


Честно казано, GDPR като цяло е доста сложен регламент. Алисън Кул, професор по антропология и информационна наука в университета в Колорадо, град Боулдър, е написал за The New York Times, документът е „изумително сложен” и практически неразбираем за хората, които се опитват да се съобразят с него. Учените и администраторите на данни, с които тя е разговаряла, „се съмняват, че абсолютното спазване е изобщо възможно”.


Тъй като голяма част от текстовете в GDPR е двусмислена, как ще работи регламентът зависи какво ще правят регулаторите. Накрая ще се появят и нормите: кого наказват регулаторите, какви санкции налагат за различните нарушения и колко от тези глоби ще бъдат платени.


Всички предполагат, че когато след два дни настъпи крайният срок, европейските регулатори няма да са много активни, оставяйки на мира компаниите за определен „гратисен” период от време, докато всеки разбере как ще работи GDPR. Но дори след 25 май регулаторите няма да могат да контролират напълно случващото се с личните данни, тъй като правилата в GDPR до известна степен зависят от поведението на самия потребител.


Ако европейски гражданин подаде молба към компания да му предостави данните, с които разполага за него, фирмата има 30 дни да отговори. Ако тя обаче все още не е напълно в съответствие с GDPR, то тя няма да може да реагира. Ако това се случи, гражданинът трябва да подаде молбата си към местния регулатор.
GDPR изисква от регулатора да направи нещо, за да приложи регламента. Това е да е може глоба в размер на 4% от световните приходи на компанията. Това обаче не слага край на казуса. Ако регулаторът получи 10 хил. оплаквания само през първия месец, това ще създаде много проблеми – както за регулатора как и кога да ги обработи, така и за компанията с колко ще я глобят.


Друго изискване на GDPR е компаниите да уведомяват съответните органи за защита на личните данни за изтичания на данни в рамките на 72 часа от установяването на пробива. Не е много ясно какво ще прави регулаторът след това уведомление. Регулаторите могат да не са готови да проверяват киберсигурността на компаниите или да решат какво да правят, за да защитят европейските граждани, засегнати от изтичането.