Новият регламент за защита на личните данни бе най-мащабната регулация, въведена на европейско ниво от кризата насам. За първи път – поне откакто България е член на ЕС, европейските власти въвеждат регламент, който има пряко въздействие върху живота на всеки европеец. Регламентът, известен повече като GDPR, може би не е най-сложното творение на брюкселската бюрокрация (Регламент 575/2013, отнасящ се до кредитните институции, например, е по-сложен), но е уникален с това, че се разпростира върху всички организации в ЕС, дори най-дребните.

Опитвайки се да опише начина, по който се обработват данни на всеки етап от бизнес процесите и във всяка организация, регламентът зададе повече въпроси, отколкото отговори можеше да даде. Той трябваше да бъде съобразен с различни правни системи, включително такива, които нямат писани конституции или разчитат на прецедента като Великобритания. Затова авторите на регламента предпочетоха принципни, обтекаеми формулировки, които се сториха твърде неприложими за много организации.  Особено в страни като България, където доминира традицията на точно разписани процедури в правилници и наредби. Текстовете на регламента изобилстват с изрази като “разумен срок”, “може да се счита” и подобни.

Заради стремежа да обхване необхватното, GDPR се оказа най-мащабното от общо 120 законодателства за защита на личните данни в света. По общо мнение новите правила за защита на личните данни задават вярно принципите в тази област и е вероятно да се превърнат в световен стандарт. Ако обаче не се препънат в собствената си неприложимост. Защото неяснотите, които съпътстват регламента, са повече от допустимото.

Регламентът бе писан в продължение на четири години и имаше две години период за подготовка. И в двата случая времето се оказа недостатъчно.

Теория и практика на GDPR

Регламентът изисква организациите, които обработват лични данни на европейски граждани (дори да са в чужбина) да обясняват ясно и разбираемо защо, как и за какъв срок ги обработват, да поддържат данните актуални и да ги изтриват в определени случаи. Обработването трябва да има валидно основание – съгласие, законово изискване и т.н. Потребителите имат разширени права, включително изтриване на данните и преносимост.

Идеята е, че дигиталната икономика излезе от романтичния си период и потребителите имат правото на по-голям контрол върху данните.
Засега все още няма случаи на шумни дела за злоупотреба с лични данни (освен от активисти като Макс Шремс, който и досега нямаше нужда от GDPR, за да притиска Facebook и останалите), но това със сигурност предстои.
Рисковете за бизнеса също предстоят. Не само у нас, а и в повечето европейски страни, нито надзорните органи, нито бизнесът посрещнаха подготвени влизането в сила на регламента. Проучване на SAS от февруари сред 200 големи компании установи, че повече от половината не очакват да са готови навреме.

На теория регламентът предвиди известни облекчения за малките организации, на практика повечето от тези облекчения не помагат особено, защото например, ако не водят регистър по чл. 30, те няма как да се справят с останалите задължения. Въпреки че най-малките фирми са освободени от изискването да назначат служител по сигурността на данните, те трябва да натоварят свой служител с определени функции. А освобождаването от задължението да извършват оценка на въздействие, но отменя останалите изисквания за отчетност, нито оценката за приложимост на легитимен интерес (балансиращ тест) –  основанието, към което ще прибегне почти всяка организация. С оглед на мащабите, тежестта върху малкия бизнес е непропорционално висока.

Недостиг на яснота и ресурси

Организациите имаха две години, за да се подготвят, но повечето започнаха работа в последните месеци. Тази подготовка включва информационен одит и прочистване базите данни от остаряла и дублирана информация, откриване и систематизиране на неструктурираните данни, документиране на основанията за обработване на лични данни (включително събиране на съгласие, което трябва да е преценено не само от правна, а и от маркетингова гледна точка).
Обичайният период за подготовка за средно предприятие е 18 месеца, като това включва и пренаписване на софтуера, обучения на персонала и внедряване на мерки за информационна сигурност.
Много шефове на фирми прецениха, че разходите за пълно съответствие са твърде големи и се успокояват взаимно, че надзорните органи ще проверяват предимно големите компании. Това изглежда оправдано, поне на пръв поглед.
В края на миналата година в тези надзорни органи в цяла Европа бяха заети едва 2500 души. Бюджетите им, макар и увеличени в доста страни, все още са много по-ниски от тези на съответните органи в САЩ. У нас Комисията за защита на личните данни разполага с непроменен годишен бюджет от 2.5 млн. лева.

Но успокоението може да е фалшиво, тъй като освен глоби от надзорните органи, администраторите на лични данни рискуват и съдебни искове.

Труден старт

Много бизнеси посрещнаха неподготвени 25 май, защото сложността на регламента, неяснотите и високите разходи ги накараха да изчакат, докато се натрупа практика. Макар това да бе резонна реакция от позицията на мениджър, който е получил противоположни мнения за един и същи казус, тя донесе и рискове. Копирайки поведението на останалите, често без да вникнат в основанията им, фирмите допуснаха много грешки, някои от които са трудно поправими. Такъв е примерът с искане на съгласие за обработка на лични данни от клиенти, пациенти, служители. В редица случаи е по-уместно да се използва друго основание – договор, легитимен интерес или законов текст. Проблемът е, че валидното съгласие не допуска неравнопостаеност. Освен това съгласието може да се оттегли, а регламентът не допуска да се сменя произволно основанието, въз на което се обработват данните.

Голяма част от бизнеса нямаше друг избор, освен да изчака. Така бе в дигиталния бизнес, който е принуден да използва услуги на трети страни, които невинаги са страна по договор между администратор и обработващ лични данни. Това се отнася до услуги като мобилни приложения, други софтуерни разработчици (например, на плъгини), адтех компании, услуги за плащане и т.н.
Но преди всичко се отнася до гигантите Facebook и Google, които обявиха правилата си в последния момент и поставиха целия останал бизнес в цайтнот.

Издателите от западноевропейските страни се обединиха срещу Google заради това, че технологичният гигант им прехвърли задължението да събират съгласие от потребителите за използването на негови услуги като  показването на персонализирана реклама и от позиция на силата наложи условия, които съответстват само на неговия бизнес модел. До този момомент няма официална реакция на институциите на ЕС.
Фактът, че авторите на GDPR не оцениха тази взаимна зависимост в дигиталния свят и не предложиха съответните решения (например, поетапно въвеждане, мерки срещу злоупотреба с монополно положение), не говори добре.

В България критиките бяха насочени само към няколко, лесно поправими разпоредби на законопроекта. Те обаче не засягат масовите източници на неяснота. Регламентът има пряко действие, ето защо надеждите за разяснения или корекции са насочени към бившата Работна група 29 (сега Комитет за защита на личните данни) и институциите със законодателна инициатива.

Досега тя успя да даде яснота по приложението на някои новости, но остават още неясноти. Те включват например обработването на непоискани данни; видеонаблюдението на деца; изтриването, което засяга трети лица; случаите на международно предаване на данни, когато лицата или източникът на данни не могат да бъдат идентифицирани; обработването на данни от лица, с които администраторът не сключва договор и не са съвместни администратори. Като цяло отговорността на администратора не е съобразена напълно с фактическите отношения в дигиталния свят.

Един голям източник на несигурност са заварените случаи, особено когато данните са предадени от други лица. Много неясноти има по отношение на услугите на трети лица, включително бисквитки, за които администраторът на данни – например, собственик на уебсайт, който е инсталирал чужди приложение, може само да се досеща. Този проблем се усложни, тъй като новият регламент за електронните комуникации (еPrivacy) не можа да бъде завършен заедно с GDPR.

Обратен (д)ефект

За да гарантира, че засегнатите лица ще положат усилия за справяне, регламентът предвиди многократно увеличаване на глобите. Това в съчетание с тежката материя, имаше обратен ефект. Високите глоби повишиха залозите и доведоха до цени на консултантските услуги, които са твърде високи и непосилни за по-голямата част от малките и средни предприятия. В резултат много предприятия предпочетоха да се справят със собствени сили, което пък доведе до множество грешни интерпратации. Най-видимата част от тези грешки бе своеобразният GDPR спам, с който бяха атакувани потребителите в навечерието на 25 май, в редица случаи – без да има необходимост от това.

Блокирането на потребителите с твърде много информация е критичен момент, тъй като основната философия на регламента е даде контрола върху данните на лицата, за които се отнасят. За целта те трябва да бъдат добре информирани и се предполага, че с активни действия ще заставят организациите, които обработват данни, да спазват правилата.

Но при толкова много GDPR спам един потребител не би бил в състояние да се информира преди да даде съгласие за всеки случай. Този спам, който подкопава приложението на регламента, трябваше да бъде предвиден.

Така стигаме до другия ефект, който бе обратен на първоначалната идея и се видя в уведомленията за поверителност. Регламентът изисква те да са кратки и ясни, да не се натоварва потребителят с твърде много дребен шрифт, който никога няма да бъде прочетен. Но в някои случаи тези уведомления стигнаха до 12-13 страници. Това бе направено не само за защита при правни спорове, а и за да се оправдаят консултантските услуги (на страница).

Вместо уведомления със свободен текст (често повтарящи регламента) можеха да се заложат стандартни типови формуляри. Те следваше да включват отговори с Да или Не на ограничен брой въпроси, в зависимост от бизнес сферата, а като допълнение – описателен текст, ако се налага (Например: юридическо наименование, категории данни, предавате ли данни на трети лица, извършвате ли профилиране, какъв е максималният срок на обработване). Предвид това, че всеки субект на данни получи десетки, дори стотици уведомления, беше напълно ненужно всяко от тях да повтаря правата му – това информиране следва да се извършва от надзорния орган.

Как бе създаден този нормативен звяр

Бихме искали да погледнем на GDPR от друга гледна точка – като модел за възможностите и опасностите на общоевропейските регулации. Регламентът бе разработван в продължение на цели четири години с идеята да хармонизира правилата в 28-те страни и да даде по-голяма защита на правата на гражданите. Това бе амбициозна цел, която с течение на времето обрастваше с все повече уговорки и изключения. В резултат само съображенията към регламента са 173, което доста затруднява “навигацията”.

Следващият пример е показателен за разликата между намерения и реализация. Едно от големите предизвикателства при внедряването на GDPR от организации, които извършват автоматично обработване на данни (тоест всяко обработване с компютър) е т. нар. преносимост. Изисква се за всички данни, които са получени на основание съгласие или договор или които са генерирани в хода на използване на услуга (например, данни от проследяване на дейността в интернет). Това означава, че преносимостта се отнася и за данни на работници и служители, за които сте побързали да съберете съгласие, вместо да изследвате законовите основания. Не бе предвидено изключение за компании, които обработват данни на малък брой лица, което бе логично. Когато става дума за неструктурирани данни или за стари системи, изпълнението на това изискване може да е трудно и скъпо. Затова е любопитно как се е стигнало до него.

На пръв поглед изглежда, че това е заемка, целяща насърчаване на конкуренцията по подобие на преносимостта на номерата от мобилните оператори. Обикновено се дава пример със Spotify – преносимостта би позволила на потребител, който иска да мигрира към друга подобна услуга, да експортне листата на слушаните от него песни, така че новата стрийминг услуга бързо да установи предпочитанията му. “Файненшъл таймс” разказва, че европейските законодатели са получили вдъхновение за това изискване след среща с Тим Бърнърс Лий – известния учен, комуто приписват бащинството на WWW и който често критикува това, в което с е превърнал интернет сега. Те се срещнали с него през 2016 г. (на финала на работата по GDPR), и сър Тим ги запознал с плановете си за децентрализирана мрежа, която да върне на гражданите собствеността над техните данни (снимки, предпочитания и прочие). Така той подкрепя едно от централните нововъведения на GDPR, а именно правото всеки да може да експортва данните си в машинночетим формат, за да ги предаде (или продаде?) на друга компания.

Но на този етап това е красиво пожелание, защото не е достатъчно да се използва формат csv (или подобен), за да могат да си “говорят” различните бази данни. Проблемът е, че отделните социални мрежи или информационни системи използват различни означения, които ги правят несъвместими – например, различни формати за дата, за валути, за числа, различни термини за едно и също нещо, а ако към това се добавят и национални различия съчетаването става трудно. Съществуват инструменти като OpenRefine, които помагат да се изчистят данните, но не решават напълно проблема. На този етап ЕС няма намерение, а няма и възможност да наложи стандартизация на термини и мерки, което да позволи съвместимостта. Плановете за хармонизация на дигиталното съдържание от 2015 г. на практика бяха изоставени.

Така преносимостта се превръща в добро намерение, което е изпреварило времето си. Надяваме се, че няма да е така с целия регламент.