Поминаа две и пол години откако ЕУ започна со имплементација на Општата регулатива за заштита на податоците GDPR, а новиот закон веќе им е познат на сите. Пробивите ги чинат престапниците се повеќе и повеќе. Претстојат уште поголеми казни за оние кои не ги штитат личните податоци.
Новиот извештај од тимот за заштита на податоците на DLA Piper,, објавен по повод Денот на заштитата на податоците на Советот на Европа, покажува дека 193,4 милиони американски долари се изречени казни за кршење на GDPR. Ова прави скоро 40% зголемување во споредба со претходните 20 месеци од стапувањето во сила на новото правило. Вкупните казни пријавени од спроведувањето на GDPR достигнаа 332 милиони американски долари.
Расте и бројот на известувања за прекршувања, забележува ZDNet. Беа пријавени скоро 331 кршење на податоците на ден во последните 12 месеци – во споредба со 278 известувања на ден претходната година. Вкупно, од мај 2018 година, акумулирани се повеќе од 281.000 известувања за успех.
Активностите поврзани со барањата на GDPR забрзано земаат интензитет, велат аналитичарите. Но, иако нормата е единствен сет на прописи што треба да се применуваат подеднакво за сите земји, реалноста е поинаква. Опремени со различни човечки, финансиски и технички ресурси, различни земји имаат различни пристапи кон спроведувањето на законот.
Разликите може да се видат во бројките. Додека Германија беше одговорна за 77.747 известувања за прекршоци по лансирањето на GDPR, Италија регистрираше само 3.460 известувања за истиот период. Оваа статистика, според експертите, може да биде поврзана и со културните разлики. Од суштинско значење е како се толкува GDPR во различни земји, велат експертите.
Најтешки казни изречени досега се:
1. Google – 50 милиони евра – санкцијата се заснова на голем број клаузули на законот, генерално поврзани со недостаток на јасност за тоа како се обработуваат податоците на корисниците и недостаток на контроли што можат да ги користат за управување со начините, на користење на податоците
2. H&M – 35 милиони евра – за следење на вработените и снимање информации за нив, вклучувајќи лични информации како што се семејни проблеми, верски убедувања итн.
3. ТIM – 27,8 милиони евра – Италијанскиот телеком е казнет за ракување со лични податоци во „премногу агресивна маркетинг стратегија“ во која голем број клиенти беа бомбардирани со повици за промоции и други несакани комуникации.
4. British Airways – 22 милиони евра – лични податоци на повеќе од 400.000 луѓе, вклучувајќи детали за најавување, информации за платежна картичка, имиња и адреси, биле украдени по хакерски пробив
5. Marriott – 20,4 милиони евра – украдени се податоците на 383 милиони гости од ланецот хотели, вклучително и 30 милиони жители на ЕУ, откако го хакирале системот за резервации на ланецот – имиња, адреси, броеви на пасоши, број на кредитни картички.
6. Wind – 17 милиони евра – казната е за нелегални маркетинг активности – спам со реклами, што се покажа невозможно за корисниците да се откажат или да се отпишат.
7. Google – 7 милиони евра – шведскиот регулатор ја казни големата компанија за кршење на „правото да се заборави“.
8. АОК – 1,24 милиони евра – поради лотарија со употреба на информации за потрошувачи.
9. BKR – 830 илјади евра – санкцијата се должи на одлуката на компанијата да воведе надоместок за пристап на корисниците до нивните лични податоци што ги чува организацијата.
10. Iliad Italia – 800 илјади евра – казната е повторно за злоупотреба на лични податоци за маркетинг цели.
Извештајот на DLA Piper забележува дека во многу случаи одлуките за санкции биле обжалени и тоа довело до значително намалување на износот на паричната казна. Ова значи дека регулаторите „не сториле сè на вистински начин“. Сепак, аналитичарите велат дека е само прашање на време кога регулаторите ќе изградат доволно доверба за да ги спроведат законите за GDPR порешително и правилно.
Но, иако досега износите се само мал процент од тоа што би можеле да бидат, ефектот на одвраќање на GDPR е веќе видлив и не треба да се потценува. Аспектот на репутација има најсилно влијание. Компаниите се свесни дека доколку бидат казнети, парите се само мал дел од санкцијата – валкањето на добро име е најголемата „глоба“, заедно со падот на довербата што следува по ваквите вести. Затоа, GDPR се сфаќа крајно сериозно меѓу деловните субјекти.
Уште повеќе, регулаторите на ЕУ исто така имаат голем број казнени мерки што можат да ги користат, заедно со парични казни, за да се осигурат дека компаниите ги менуваат своите лоши практики за обработка на податоци.
Во овој сè уште „развиен“ пејзаж околу GDPR, друга причина за бизнисите да останат претпазливи е можноста за нови и построги правила во иднина. Актуелен случај во Велика Британија, наречен „Lloyd против Google“, веројатно ќе биде следен од многу организации затоа што ќе има значајна улога.
„Сите погледи се свртени кон овој случај за да се види дали има основа“, велат аналитичарите. Ако случајот е успешен, казните ќе бидат само мал дел од главоболката, бидејќи тие ќе избледат во споредба со ефектот на кумулативните побарувања за штети.
Накратко, секоја организација што обработува податоци во земјите каде што се применува GDPR мора да биде крајно внимателна. И GDPR допрва ќе стане поголем и пострашен.