Как новите правила за лични данни на ЕС засягат интернет бизнеса
Скандалът, разразил се около фирмата за проучвания Cambridge Analytica и социалната мрежа Facebook, продължава да разкрива колко дълбока е заешката дупка, кагото говорим за злоупотреба с лични данни.
По последни данни, неизвестната до преди няколко седмици фирма е събрала и използвала личната информация на до 87 млн. потребители на Facebook.
На фона на това, Европейският съюз представи нова регулация, която цели защита на личните данни. Става дума за Общия регламент за защита на лични данни (General Data Protection Regulation или GDPR), който ще влезе в сила от 25 май тази година.
Документът дава власт на европейските регулатори да налагат солени глоби на компании, които не успеят да защитят данните на европейските граждани. Глобата може да достигне до 20 млн. евро, или до 4% от годишния оборот на санкционираната компания, като при санкция се прилага цифрата с по-висока стойност.
Германският правосъден министър Катарина Барли вече посочи, че GDRP, който идва на фона на скандала с Facebook, може да послужи за инструмент, който да промени свободното използване на лични данни от големите интернет корпорации.
Авторитетното издание Financial Times очертава какво точно означават новите правила на ЕС за големите интернет компании.
1. Ще възпрепятства ли GDPR компании, като Cambridge Analytica, да използват потребителска информация от Facebook?
Новите правила в ЕС не засягат директно практики, като „добиването на данни” или „събирането на информация”, които, както се твърди, са използвани от Cambridge Analytica за провеждането на избори по целия свят.
Вместо това, регулацията обновява принципите за съгласие и прозрачност – с други думи, компания, събираща лични данни, ще трябва да получи разрешение от потребителите да използва информацията за точно тези цели, които е посочила.
Ако целите на компаниите се променят, то те ще имат задължението да получат ново разрешение от потребителите.
В случая с Facebook и Cambridge Analytica, правен експерт от ЕС посочва, че има три възможни стъпки за осигуряване на потребителско разрешение.
Първо, създателят на приложенията, които са теглили лични данни - Александър Коган от университета Кеймбридж, ще трябва да има съгласие от страна на потребителите на Facebook, за да използва личните им данни.
Второ, Коган ще трябва да си набави разрешение от потребителите на социалната мрежа, за да може да продава техните данни на фирмата Cambridge Analytica. И трето, самата Cambridge Analytica ще трябва да информира всичките 87 милиона засегнати потребители на Facebook, че ще използва техните данни за политически цели.
2. Може ли лична информация да се използва за политически цели след влизането в сила на GDRP?
Новата регулация не забранява използването на лични данни за политически цели. Но правилата поставят рамка кой точно може да използва подобна информация, а именно само политически партии и организации, които работят за съставянето на избирателни списъци.
Някои страни, като Ирландия, въведоха изключения в националните си законодателства за защита на лични данни, за да осигурят възможността на държавни компании да заобикалят солените глоби, записани в GDPR, ако използват лични данни за някакви цели.
„Когато в хода на изборния процес функционирането на демократичната система в дадена държава-членка изисква от политическите партии събирането на лични данни относно политическите възгледи на хората, обработването на такива данни може да бъде разрешено поради съображения от обществен интерес, при условие че са установени подходящи гаранции за това”, пише в Общия регламент за защита на лични данни (GDRP).
Правен експерт от ЕС посочва, че практиките на Cambridge Analytica по-скоро не се отнасят към традиционните политически процеси, като по-точно представляват пример за „манипулиране на търговска информация за политически цели - нещо, което не е предвидено в GDPR”.
3. Как ще бъде приложен GDPR?
Новите правила дават на националните регулатори на 28-те страни-членки на ЕС ( у нас това е Комисията за защита на лични данни, бел. ред.) по-широки правомощия. Те ще могат да стартират процедура срещу всяка една компания, която нарушава правилата, налагайки глоби в размер до 20 млн. евро, или до 4% от годишния оборот.
Това е голяма промяна на настоящото законодателство. Например, във Великобритания местният регулатор Information Commissioner’s Office понастоящем може да налага глоби в размер до едва 500 хил. паунда.
Освен това новите правила ще засилят и ефективността, тъй като при казуса с Cambridge Analytica британският регулатор бе принуден да чака цели 4 дни за заповед за обиск, преди да нахлуе в офисите на компанията. Докато това се случи, лица, които отказваха да се идентифицират, влизаха и напускаха необезпокоявано офисите, изнасяйки кутии с незнайно съдържание.
Под новата правна рамка европейските власти ще могат да работят доста по-ефективно след влизането в сила на документа от 25 май тази година. Когато това се случи, компании като Facebook ще бъдат изправени пред редица правни предизвикателства от регулаторите на различни държави-членки на ЕС.
Според новите правила, един регулатор - обикновено този, намиращ се в същата страна, където компанията е базирана в Европа (при Facebook това е Ирландия), ще води делото под координация с останалите държави от Общността.
Експертите смятат, че тази координирана правна стъпка ще затрудни компаниите да заобикалят правилата и ще засили натиска върху европейските органи за защита на данните да вършат по-добре работата си.
„Светът ще се промени след 25 май. Общественият гняв срещу признанията на Facebook и заплахата за европейската демокрация означава, че ЕС и регулаторите не могат да лежат на стари лаври”, казва Вера Джурова, европейски правосъден комисар, пред Financial Times.
По думите ѝ, Брюксел „държи заредено оръжие към регулаторите за защита на лични данни на държавите-членки, за да въведат GDPR”.
4. Могат ли регулаторите да глобят Facebook със задна дата по силата на GDPR?
Правните експерти на ЕС посочват, че правилата на GDPR могат да позволят завеждането на дело срещу Facebook или Cambridge Analytica, след като влязат в сила.
За да се случи това, европейските регулатори или съдилища ще трябва да докажат, че става дума за случай на продължаващо нарушаване на личните данни на потребителите, произлизащо от вече развихрилия се скандал.
Казано по друг начин, компаниите могат да бъдат подведени под отговорност по силата на новите правила, ако се докаже, че добитите от трето лице данни на потребители на Facebook продължават да се използват без разрешението на хората и след 25 май тази година.
Някои активисти обаче изпитват съмнение, че европейските регулатори ще имат достатъчно ресурси да действат ефективно по случая.