Стойността на глобите за нарушаване на общия европейски регламент относно защитата на данните (GDPR) скача близо седем пъти през последната година, сочи ново проучване.

Регулаторните органи в ЕС са наложили глоби на стойност общо 1.25 млрд. долара за нарушения по GDPR от 28 януари 2021 г. насам, се казва в доклад на адвокатската кантора DLA Piper.

За сравнение, глобите са на стойност около 180 млн. долара година по-рано.

Уведомленията за нарушения от страна на фирми до регулаторните органи нарастват с по-скромните 8% до средно 356 на ден.

GDPR е в сила от 2018 г. Тези законодателно промени по отношение на защитата на данните в ЕС имат за цел да предоставят на потребителите в Европа по-голям контрол върху тяхната лична информация.

От компаниите се изисква да получават ясно съгласие от страна на потребителите преди да обработват техните данни. Компаниите също така трябва да информират властите за евентуални нарушения в рамките на 72 часа, след като те са установени.

Ако компаниите не спазват това изискване, може да последват сериозни глоби в размер на до 4% от годишните приходи на дадена компания или 20 млн. евро, в зависимост от това кое е по-голямата сума.

“GDPR определено имаше ефект по отношение на това да накара компаниите да се запознаят със закона за защита на данните и прилагането му,” казва пред CNBC Рос Маккийн, председател на подразделението за защита на данните в DLA Piper за Великобритания.

“Преди GDPR се налагаха глоби, с които не можеше да се организира и коледно парти. Сега има глоби, които доближават 1 млрд. евро.”

Рекордни глоби

Миналата година регулаторните органи в ЕС са наложили рекордни глоби по GDPR, като големите технологични компании са основните потърпевши.

Регулаторният орган в Люксембург глоби Amazon със 746 млн. евро, докато властите в Ирландия глобиха притежаваната от Meta WhatsApp с 225 млн. евро. И двете компании в момента обжалват своите глоби.

“След въвеждането на такива големи глоби отнема известно време на регулаторите, за да ги наложат,” казва Макийн. “Това е така, защото разследванията отнемат време. А законът все още съдържа много отворени правни въпроси.”

Сред тези отворени въпроси е трансграничният пренос на данни между ЕС и САЩ. През 2020 г. Съдът на ЕС отмени споразумението за пренос на данни между ЕС и САЩ Privacy Shield.

Въпреки че това споразумение беше отменено, съдът запази валидността на стандартните договорни клаузи - друг механизъм за гарантиране на това, че потоците от данни между ЕС и САЩ са правно издържани. Компаниите обаче все още се опитват да разберат последиците от решението.

Основното твърдение в него е, че режимът за защита на данните в САЩ не е еквивалентен на този в ЕС.

Правна несигурност

Макйийн казва, че едно от големите “главоболия” за компаниите занапред е правната несигурност, която заобикаля преноса на данни между ЕС и САЩ.

Стандартните договорни клаузи, които са най-популярният метод за обработка на подобни трансфери, са на “изкуствено дишане,” казва Маккийн, докато ръководители от ЕС и САЩ обмислят планове за ново споразумение, което да замени Privacy Shield.

Компанията майка на Facebook - Meta, води съдебен спор по въпроса с ирландския регулатор за защита на данните. Регулаторът е разпоредил на Meta да спре да използва стандартни договорни клаузи за изпращането на информация за потребителите от Европа към САЩ, докато разследва практиките й в това отношение.

Meta успя да си осигуря временно замразяване на заповедта, но то беше отхвърлено от съда в Ирландия, което позволи на регулатора да продължи с разследването си.

Регулаторният орган за защита на данните в Австрия наскоро заяви, че използването на Google Analytics нарушава GDPR, тъй като излага данните на потребителите на щатските разузнавателни агенции.

Подобно на Meta и други големи щатски технологични компании, Google разчита на стандартните договорни клаузи, за да обработва преноса на данни между Европа и САЩ. След обвинението от страна на австрийския регулатор Google заяви, че компаниите, които използват Google Analytics, “контролират какви данни се събират с тези инструменти и как се използват,” както и че компанията осигурява “набор от предпазни мерки, инструменти за контрол и ресурси за спазване на изискванията.”

“Всяка организация, с някои ограничени изключения, разполага с международна верига на доставки и международен пренос на данни,” казва Маккийн, добавяйки, че отмяната на Privacy Shield е оказала “сериозен” ефект върху представители на бизнеса под всякаква форма и размери.

Освен засилената правна несигурност, Маккийн казва, че очаква още обжалвания на глобите по GDPR през 2022 г.