Компютър

Cъбирането, обработката и споделянето на лични данни през последните години е един от ключовете пред иновациите и икономическото развитие. Почти всяка икономическа дейност – от продажбата на билети за концерти до доставката на пици, поръчани онлайн, без да споменаваме финансовите услуги, в бъдеще ще зависи от данните.

Според едно проучване на IDC, към 2025 г. в света ще бъдат натрупани данни, равни на 1 трилион гигабайти (1 трилион огромни библиотеки). Това е 10 пъти повече от данните, създадени до 2016 г. С навлизането на дигиталните технологии все повече аспекти от дейността на хората, машините и компаниите, могат да бъдат засичани, записвани и обработвани. Мрежовите сензори могат да събират данни за всичко и навсякъде. А разходите за съхранение на тази информация намаляват.

Данните са критичен ресурс. Скорошна статия във FT например разказва, че инвеститорите, разчитащи на алтернативни данни като извлечени  мрежата потребителски отзиви, анализи, базирани на броя обявени работни места или броя артикули в Amazon, и пр., имат идея за финансовите резултати на компаниите преди обявяването на отчетите.

След като преобърна търговията, дигитализацията е на път да направи същото във финансовия сектор и индустрията. Интернет на нещата (Internet of Things), който отначало управляваше домакински уреди, сега намира приложение в транспорта и добивната индустрия. Благодарение на сензори, авиокомпаниите могат да извършват мониторинг на състоянието на самолетите, да предвидят кои части се нуждаят от ремонт и така да намалят разходите и инцидентите.

Но медалът има и обратна страна. От данните, когато са обработени професионално, може да се извлече ценна информация, но това повдига и етични въпроси. Оправдано ли е навлизането в личния живот, с цел да се предвидят потребителските предпочитания? Не допринася ли това за създаването на музика, тв програми и вкусове по калъп и не убива ли лудостта на иноваторите? И може би най-важното – същите данни, които се използват за следене на терористите, правят системите по-уязвими на кибератаки.

Колкото повече компаниите се опитват да изграждат бизнеса си върху данните, толкова повече нарастват желанията да се регулира този бизнес. А регулациите засягат всички – от стартъп, който следи, да кажем, кога жителите в даден квартал се събуждат на база на профилиране на данните за първото логване в интернет и на тази база подадава информация за очакваните поръчки на таксита или пици, до най-баналния квартален магазин. Последният може и да не използва интернет, но само заради факта, че има наети служители, с чиито данни оперира, също трябва да спазва новите европейски правила за личните данни.

На този фон новите европейски правила за защита на данните и киберсигурност могат да се окажат огромно предизвикателство за бизнеса.

Новият регламент за личните данни

Това на първо място е Регламентът за защита на данните – General Data Protection Regulation (GDPR), който влиза в сила през 2018 г. и има директно приложение в националното законодателство. Но освен това ЕС прие и специално законодателство за мрежовата сигурност

GDPR замества европейската директива за защита на данните (95/46/EC) и е резултат от четиригодишни усилия да се създаде унифицирано законодателство с ясно определени отговорности и солидни санкции за нарушения (особено такива, които не са обявени).

Скорошно проучване на Dell изненадващо показа, че 80% от професионалистите в ИТ сектора не са добре запознати с GDPR, а 97% нямат планове за изпълнение на изискванията на регламента. В България този процент е по-малък и повечето компании вече са закъснели с подготовката.

Целта на регламента, който заменя директивата за защита на данните, е да върне контрола върху личната информация на лицата. Тя същевременно дава повод на фирмите да реорганизират данните си и дори да се замислят за това дали ги използват по най-добрия начин. Но това не опира само до реорганизация на информационните системи.

Последното е тема и на директивата за сигурност на мрежите и информационните системи, която трябва да започне да се прилага от 9 май 2018 г. Тази директива се отнася  до доставчиците на основни услуги – от банки до болници. Все още не е ясно кой ще бъде националният орган у нас, който ще отговаря за прилагането на предвидените в директивата мерки за информационна сигурност.

Регламентът, ако не бъде приложен добре, може да изложи на риск бизнеса на компанията. Паролите, лични подробности, предпочитания и друга чувствителна информация например са на разположение на авиокопании, хотели, куриерски фирми, таксиметрови компании (кога за последно поръчвахте такси, наложи ли се да повтаряте адреса си?). И не само те, а често и други лица по веригата им на доставки.

Прилагането на GDPR изисква интегриран подход и в този смисъл е политика, която трябва да се възприеме на най-високо ниво в компаниите.. Това не е работа на ИТ отдела, както мислят мнозина. Засегнати са работещите в Човешки ресурси“, „Продажби“, „Маркетинг“, счетоводните отдели, доколкото обработват ведомости за заплати.

Организациите трябва изрично да искат съгласието на лицата (освен ако със закон им е вменено да събират лични данни) да споделят лична информация, да не събират повече данни, отколкото е нужно, да вземат мерки за защита и да информират потребителите, когато данните им са били хакнати.

Фирмите нямат право да държат данните за по-дълъг период отколкото е нужно. В същото време се забранява безраборното използване на лични данни с цел профилиране и т.н.

Това ще наложи промени в програмите за лоялност, на които разчитат толкова много компании – от туристическата индустрия до онлайн търговците.

Ще бъдат засегнати още компаниите, които се занимават с анализ на данни (BI, Big Data), както и доставчиците на облачни услуги. Последните – защото регламентът вече се отнася и до обработващите данни. Например, ако сте представили данните си на комунална компания, но тя прехвърля информация на колекторска фирма, последната също трябва да гарантира спазването на новите правила.

Ако самолетна компания продава билети чрез агенции, ако фабрика наема хора чрез агенции за подбор на персонал, ако електронен магазин извършва доставки и плащания чрез куриерска фирма и т. н. Това означава, че трябва да се изменят договорите, вътрешните правила, длъжностните характеристики. В редица случаи може да бъде засегнат дори бизнес моделът.

В отделни случаи фирмите трябва да назначат специални служители, има и редица други изисквания.

Най-малко 75 000 служители по защита на данните ще трябва да бъдат назначени в световен мащаб като последица от законодателството на ЕС, показват оценки на International Association of Privacy Professionals. В ЕС и САЩ техният брой ще достигне 28 000.

Напрежение със САЩ

Важно е (за потребителите), че регламентът важи и за неевропейски компании – например, Facebook, ако са засегнати данни на европейски граждани.

Последното може да се превърне в нова територия на сблъсък между САЩ и ЕС, тъй като европейското законодателство в областта е по-строго. В САЩ националната сигурност често взема връх над личната неприкосновеност, какъвто беше случаят със шумния сблъсък между ФБР и Apple по повод искането да се отключи телефон на един от терористите в Сан Бернардино.

Технологичните компании от САЩ са на прицел. През 2014, Съдът на ЕС потвърди „правото да бъдеш забравен“, като задължи Google да трие лична информация по искане на физическите лица. Този принцип сега намира приложение в регламента. През 2015 г. Facebook бе осъден по искане на гражданин на Австрия, който протестира срещу това, че негови лични данни се пазят на сървър в САЩ.

В САЩ са особено скептични към т. нар. локализация – правилото, което изисква данните от една страна да се съхраняват в нейните предели. Това е дигиталният еквивалент на криенето на пари под матрака, твърди Кристофър Смарт от Чатъм Хауз. Според него данните в облака са по-защитими от тези на определен сървър, локализиран в дадената страна.

За да посрещнат европейските изисквания компаниите, опериращи от двете страни на Океана трябва да различат на европейските моделни договори или на сертифициране по т. нар. Privacy Shield. Освен това САЩ и ЕС се опитват да съгласуват правилата по обмяна на данни и да си сътрудничат в някои сфера – например, през 2016 г. бе подписано Umbrella Agreement,” което въвежда правила за обмяна на данни в случаите на криминални разследвания.

Проблемът е, че в дебата са намесени много институции, включително на национално ниво не само в САЩ са пословични конфликтите между различните агенции. В ЕС пък има място за конфликт междунационалните органи (каквито за службите за сигурност) и Брюксел. Изискванията на GDPR засягат и службите, отговорни за националната сигурност, вкл. МВР. Как българските институции ще се включат в тези регулации ще стане ясно през есента, когато вероятно ще бъде представен законодателният пакет в изпълнение на европейските изисквания.

Конкурентно предимство

В края на май италианската комисия за защита на конкуренцията заедно с комисията за защита на данните и техния орган за регулиране на съобщенията започна проучване за това как Facebook и подобни компании събиран и използват данни, събрани онлайн. На прицела са Big data и дали чрез този ресурс се създава пазарно предимство. Дори когато информацията е анонимна и е агрегирана, това може да доведе до задълбочено профилиране на потребителите, което е предпоставка за нови форми на дискриминация и възможно ограничаване на свободата на потребителите.

Френският антимономолният орган пък проучва интернет рекламата, по-специално ролятата на Facebook, като резултатите се очакват през есента.

В Германия социалната мрежа е обект на разследване за това как използва данните на потребители. Първоначалните резултати се очакват до края на годината. Освен това органите за защита на конкуренцията получиха повече права да спират придобивания на компании, които са мотивирани от обмяна на данни. Така антомонополният орган в Бон например взе повод от сделката между Facebook и WhatsApp, засягаща 1 млрд. потребителя за да разшири правилата за спиране на сделки, свързани с трансфер на данни.

Необходима е фина настройка, за да не стане така, че усилията за защита на данните да не подкопаят обмена на данни, който е ключов за усилията на ЕС да стимулира Единния дигитален пазар. Или както казваме – да не се изхвърли и бебето с мръсната вода.