Ирландската комисия за защита на данните (The Irish Data Protection Commission, DPC) публикува своя годишен доклад в четвъртък и това, което изпъква веднага, е ръстът на подадени оплаквания след влизането на Европейската директива GDPR в сила. При регулатора са постъпили с 56% повече жалби известия в периода 25 май (датата, на която GDPR бе приет) и 31 декември 2018 г., в сравнение с първата половина на годината.

Според Хелън Диксън, ирландския комисар за защита на данните, увеличението при жалбите „демонстрира ново ниво на мобилизация за действие от страна на хората, така че да се справят със злоупотребата или неадекватното обяснение на случващото се с техните данни“.

Една от ключовите промени, която донесе GDPR, е възможността трети страни да внасят жалбите от името на индивидуални потребители. Това може да бъде например организация за защита правата на потребителите. Изглежда това е мотивиращо за хората, тъй като не всеки човек се чувства достатъчно уверен, за да предприеме действие. Освен това, колкото по-голям е броят на подалите оплакване в един колективен иск, толкова по-вероятно е проблемът да бъде разгледан от съответните отговорни органи.

Информирали сме ви за подобен случай – рекордната глоба, наложена на Google, от 50 милиона евро заради липсата на правно основание компанията да обработва данните на своите потребители, и по-специално да прави това с цел персонализиране на реклами. Две френски асоциации – La Quadrature du Net (LQDN) и None Of Your Business (NOYB) подадоха групови жалби до националната комисия за защита на данните на Франция (CNIL).

Броят на докладвани нарушения срещу технологичните гиганти също следва да се спомене. След влизането в сила на GDPR, DPC е получила 38 жалби за нарушения, 11 от които срещу мултинационални технологични компании. Комисар Диксън коментира факта така:

„Значителна част на тези жалби включва нерегламентирано разкритие или достъп до лични данни, вследствие на грешки в софтуера на съответните компании“.

Според доклада, DPC е започнала 15 разследвания от влизането на GDPR в сила. Десет от тях касаят Facebook и притежаваните от компанията WhatsApp и Instagram. Мащабното нарушение с токените от септември 2018 г. е предизвикало три отделни разследвания по случая. При две от тях се разглежда дали Facebook е взела организационни и технически мерки, за да защити данните на своите потребители. А при третото се проучва дали DPC е била уведомена в рамките на 72 часа от установяването на проблема, както гласи директивата.

Докладът разкрива също, че са подадени 23 официални запитвания за детайлна информация относно съгласуването на различни аспекти от GDPR с правилата на големите технологични компании. Дадени са следните примери:

  • Обработването на данни за локация от страна на Google
  • Прехвърлянето на лични данни от външни приложения към Facebook и сътрудничеството на компанията с външни изследователи
  • Microsoft във връзка с обработването на телеметрични данни, събирани от Office продукта им
  • WhatsApp във връзка със споделянето на лични данни с Facebook

Очевидно GDPR е безценен инструмент за защитата на личните данни и хората бързо осъзнават това. Въпреки че огромният ръст при докладваните нарушения може да бъде възприет като песимистичен знак за цялостно влошаване на киберсигурността, той би следвало да подлежи на по-дълбок анализ. По-вероятно е хората вече да използват активно европейската директива с цел да защитят правата си. Ето защо и регулаторите стават все по-силни:

„Над 1000 нови служители по защита на данните са били назначени от организациите в Ирландия и са уведомявали DPC за нарушение от май насам. Тези хора ще играят ключова роля в прилагането на ефективни практики за защита на данните в техните организации и ще създават истински подобрения в стандартите на сигурността на данните“ – ­казва комисар Диксън.

Наталия Николова, правен съветник в екипа на AMATAS, коментира ръста при жалбите и настоящата обстановка в България, която стои встрани от описаната в доклада на DPC:

„Високият брой жалби, отразени в доклада, е разбираем, тъй като повечето представителства на големите компании и надзорните им органи са разположени в Ирландия.

Но има една голяма разлика с българската правна система във връзка с представителството на субектите от неправителствени организации. Това не е приложимо в България и следователно този аспект от GDPR не е релевантeн на местно ниво. Това не означава, че регулаторните органи не се използват, тъкмо обратното. Натовареността на КЗЛД ще продължава и в бъдеще. С развитието на икономиката и идването на все повече технологични компании от трети страни в България, ръст при жалбите се очаква и у нас“.

Снимка: Pexels