Национални регулатори вещаят трудно начало на GDPR

Основният проблем са недостигът на средства и персонал, за да се върши работата ефективно

Shutterstock
Shutterstock    ©  Shutterstock
Shutterstock
Shutterstock    ©  Shutterstock

Общият регламент за защита на личните данни (GDPR), определян като най-сериозното сътресение за законите за личните данни от раждането на интернет насам, влиза в сила след две седмици, но много от националните регулатори за защита на личните данни в ЕС не са готови за прилагането му.

Анкета на Reuters от края на април разкрива, че основният проблем са недостигът на средства и персонал, за да се върши работата ефективно. В Италия например за регулатора работят 122 души, а се смята, че би трябвало да са 300. Списъкът с 4 въпроса е изпратен на 24 агенции и общо 17 са отговорили още, че в началото националните закони няма да са адаптирани, за да изпълняват възложените им от общия регламент задължения.

Съмнения около европейския борд

Концепцията за контрол на територията на ЕС е не да има единна институция, а да действа мрежа от национални и регионални регулатори. Те ще действат по едни и същи правила, поради което - поне на теория - би трябвало да няма значение към коя агенция ще се обърне страна, смятаща, че е засегната.

От отговорите на анкетата се разбира, че прилагането на новия режим ще е по-слабо, отколкото ако с това се беше заела антимонополната институция, ръководена директно от Европейската комисия. Общият регламент определя да има централен орган в мрежата от национални регулатори и той се нарича Европейски борд за защита на информацията (European Data Protection Board или EDPB). Задачата му е да подпомага еднаквото прилагане на регламента във всяка държава и да действа като форум за регулаторите, като при спорове издава задължителни решения.

Националните регулатори трябва да поемат водеща роля в надзора на компании, регистрирани на тяхна територия. Ирландия например е в специална ситуация, защото тук са представителствата за ЕС на гиганти като Facebook, Google и Apple. С тях трябва да се занимава службата на местния Комисар за защита на данните (Data Protection Commissioner или DPC). В същото време Cambridge Analytica, замесена в последния скандал за неправомерно използване личните данни на десетки милиони потребители на Facebook, е в ръцете на британската Служба за информация (Information Commissioner's Office или ICO).

Йоханес Каспар, отговарящ за защита на личните данни в Хамбург, казва за Reuters, че в миналото е имал много разногласия с ирландския си колега в подхода към американския гигант. Според него е добре, че има европейски борд, но критикува структурата му, която определя като "сложно - и за някои външни хора определено непрозрачно - начинание".

Какво попита Reuters и какво отговориха

Reuters е изпратила 4 въпроса до всичките 28 държави и са отговорили 18 национални институции плюс 6 от 16-те федерални провинции на Германия. Едва 5 са отговорили, че разполагат с нужните закони и финансиране.

Участвали са България, още 16 държави плюс федералните провинции Берлин, Бранденбург, Хамбург, Хесен, Северен Рейн-Вестфалия и Шлезвиг Холщайн, както и Норвегия. Отказали са Австрия, Белгия, Ирландия, Холандия и Великобритания. Не са отговорили дали ще участват Хърватия, Дания, Унгария, Люксембург, Испания и другите германски провинции.

Десет от агенциите са заявили, че ще действат изпреварващо и ще санкционират най-крещящите нарушения, 18 - че ще реагират и разследват след оплакване, и само 7 - че ще дадат на компаниите време да се адаптират към GDPR, преди да действат.

На въпроса "Къде поставяте основния фокус на усилията си за прилагане на регламента" най-голямата група отговори (11) е за business-to-business фирмите с голям компонент лични данни. Запитани дали ще предприемат нещо по продължаващия скандал с Cambridge Analytica, само две планират разследване и санкции срещу Facebook, докато повечето (16) казват, че ще имат "друг" подход.