Затишие пред буря. Така може да се определи ситуацията с регламента за защита на личните данни GDPR малко повече от 9 месеца след влизането на санкциите по него в сила през март 2018 г. Уроците, които научихме през това време са:
- Регулаторите не бързат да налагат санкции, но не се колебаят да го правят (най-голямата наложена е глоба е 50 млн. EUR на Google във Франция)
- Потребителите не се свенят да подават сигнали – само във Великобритания има над 206 хил. подадени жалби, от които 64 хил. са уведомения за източване на лични данни
- Не малка част от наложените глоби касаят не толкова самите пробиви, колкото очевадната липса на политики за реагиране при инциденти от страна на разследваните организации
Глобеният си е глобен
Общият обем наложени глоби в ЕС по статистика на британския регулатор за защита на личните данни е 55 млн. EUR. Да, цифрата не е толкова стряскаща, особено на фона на факта, че 50 млн. EUR от тях са за Google във Франция. Но е факт, че според различни публикации не малка част от регулаторите са задали „гратисен“ период, в който държат санкциите на възможно най-ниските им нива.
Така, например, първата наложена в Унгария глоба по GDPR, е за „скромните“ 3 100 EUR – или 6.5% от годишния оборот на санкционираната компания. Причината за санкцията: организацията не е успяла да предостави адекватна информация за причините за събирането на лични данни от клиенти.
Първата глоба в Германия (и по GDPR изобщо) пък е била за германска социална медия, която е допуснала източването на лични данни за 330 000 свои потребителя. За този си пропуск, тя е санкционирана с 20 000 EUR. Ниската глоба се дължи и на факта, че всъщност организацията е демонстрирала значими усилия да уведоми навреме властите и засегнатите потребители – и го е направила в сроковете, предвидени по регламента. Общо, до момента, в Германия са наложени 41 санкции.
Защо ги няма масивните глоби
Факт е, че до момента санкциите изглеждат някак рехави на фона на гръмките до 4% от годишния оборот или 20 млн. EUR – което от двете е по-високо. Но е факт и, че не липсват и оплаквания, и санкции. А според различни коментари на специалисти, и регулаторите в момента набират скорост.
Така например, само 52% от споменатите 206 хил. сигнала във Великобритания са обработени до момента, а за година местният регулатор е удвоил персонала си – от 380 на 700 служителя. Факт е, че и дори и да е имало „гратисен“ период, той рано или късно би трябвало да свърши. И е факт, че регулацията е лице, което означава, че или организациите са си свършили много добре работата – и са добре подготвени да покрият изискванията на регламента, или сме на прага на буря от санкции.