Новият регламент за личните данни в Европа, известен като GDPR, влиза в сила днес и вниманието е насочено към очакваните битки с технологични гиганти като Facebook и компанията-майка на Google, Alphabet. Но последиците от регламента са далеч по-широки, пише Wall Street Journal.
Новият Общ регламент за защита на личните данни принуждава стотици хиляди компании, сред които корпорации като Mastercard и застрахователната компания Allianz, но също и малки промишлени производители и ресторанти, да променят начина си на събиране и управление на информация за европейците, дори компаниите да нямат физическо присъствие в Европа.
Много от тях не са напълно подготвени, казват адвокати и консултанти в областта на личните данни. Някои вложиха милиони долари, за да са готови за петък – деня, в който регулаторите започват да прилагат закона.
„Не смятам, че осъзнахме в пълна степен какво ще изисква законът“, казва Пол Делсън от производителя на слънчеви панели First Solar, базиран в Темпи, щата Аризона. Компанията побърза да очертае нови политики, свързани с използването на данни на служителите и клиентите си. Първоначално „си помислих, че това е европейски закон, а ние сме американска компания“, признава Делсън.
GDPR създава или затяга редица задължения за компаниите като минимизиране на информацията, която събират. Регламентът дава на потребителите нови или разширени права, включително в много случаи правото да виждат, коригират или заличават лична информация за тях самите.
Отговорност на компаниите е да покажат, че спазват правилата и са застрашени от глоби до 4% от глобалните си приходи или 20 млн. евро (23,4 млн. долара), ако не се съобразят с правилата. Регулаторите едва ли ще са благосклонни при забавяне, защото влизането в сила на регламента, приет през 2016 г., беше отложено с две години, за да се даде време на компаниите.
„Нямаше скрит дневен ред. Ще видим дали и с колко изостават компаниите от прилагането на закона“, казва Андреа Йелинек, която се очаква да оглави новия Европейски съвет за защита на личните данни.
Допитвания сред бизнеса показват, че между 60% и 85% от компаниите не очакват да отговарят напълно на изискванията в петък. През март и април само половината от анкетираните съобщиха, че дори „до голяма степен изпълняват изискванията“, показва допитване сред 1000 фирми от Фрация, Германия, Холандия, Италия, Великобритания, САЩ, Испания и Швеция, проведено от консултантската компания Capgemini SE.
Компании, които смятат, че ще се вместят в крайния срок, често са вложили огромни средства за това. Базираният в Мюнхен застраховател Allianz съобщи, че е вложил десетки милиони евро, за да се подготви за GDPR, като е мобилизирал стотици експерти по защита на личните данни от 80 филиала, за да направят промени, включително на онлайн молбите за застраховка, с цел да избегне искане на информация като професията на кандидата. „Това беше колосална задача“, казва Филип Рийдър, който отговаря за защитата на личните данни в компанията.
Bossa Studios, базирана в Лондон компания за видеоигри, която има 90 служители, съобщи, че е вложила „десетки хиляди долари“ за консултанти, които провели проучването за съобразяването й с GDPR и не им се наложило да променят нищо, тъй като тя съхранявала само обикновени данни. „Това е доста сложен въпрос. Дори консултантите се опитват да го проумеят“, казва главният изпълнителен директор на компанията Енрике Олифиерс.
Едно от най-щекотливите изисквания на закона е компаниите да посочват как събират и обработват лична информация. Френската хотелска верига Accor е наела външен консултант за необявена сума, за да създаде карта на всички начини, по които използва данните, и след това да осъвременява картата в случай, че регулатори дойдат на проверка. „Това е безкраен процес“, казва Томас Елм, който отговаря за защитата на личните данни.
Американските компании, които събират голямо количество данни за пътниците, отказаха да обсъждат подготовката си публично. Един ръководител на авиокомпания заяви, че вниманието е било насочено върху създаването на запас от лични данни за милиони членове на програми за чести пътувания и от начини, по които данните могат да бъдат споделяни с трети страни като онлайн туристически агенции. Той лично е назначил отговорник за защитата на личните данни – нова позиция, наложена от новите правила.
Ръководителите на Mastercard осъзнали миналата година, че данните за трасакциите с кредитни карти, които компанията анализира, например, за да покаже тенденции при пазаруването, вече може да не се считат за анонимни след влизането в сила на GDPR. Това би означавало, че регламентът потенциално може да ограничи начините за използване на данните в бъдеще, защото поставя лимити за обработването на лична информация за цели, различни от тези, за които е събирана.
През март Mastercard в сътрудничество с International Business Machines създаде външен тръст, който ще съхранява и ще направи данните анонимни, така че Mastercard да не може да разкрива самоличността на хората.
Базираната в Ню Йорк компания за онлайн реклама AppNexus, 30% от бизнеса на която се намира в Европа, трябвало да промени договорите с европейските си продавачи и клиенти, както и с американските компании, които имат бизнес в Европа, за да се съобрази с новия закон, казва главният изпълнителен директор Брайън О’Кели.
„Намираме се в една от най-големите правни безизходици в световната история. Моето най-голямо притеснение е, че тя няма да бъде разрешена за десет дни“, казва О’Кели.
Дори ресторантите в САЩ са притеснени дали отговарят на регламента, защото събират и съхраняват информация за граждани на страни членки на ЕС, които правят резервации при пътуване, казва Кинеш Пател, съосновател на компанията SevenRooms, услуга за резервации и съхраняване на информация за гостите.
Големите вериги работят от известно време за съобразяване с регламента, но той изненада някои от по-малките ресторанти, казва Пател. „Ресторантите не са технологични компании, но сега искат от тях да управляват данни като че ли са такива“, допълва той.
12:15 | 13.09.22 г.