ЗАДАВА СЕ НОВ РЕГЛАМЕНТ ЗА ДАННИТЕ, GDPR ЩЕ НИ СЕ СТОРИ КАТО ДЕТСКА ИГРА
- ЕК инициира огромно по обем законодателство за споделяне на производствени данни, генерирани от свързани устройства.
- Проектът предизвика опасения у компаниите заради задълженията за споделяне на чувствителна информация, която може да се класифицира като търговска тайна.
- Окончателното приемане на новото законодателство се очаква до пролетта, а времето за реакция с искане за промени е съвсем кратко.
ЕС очаква да генерира 270 млрд. евро допълнителен БВП до 2028 г. чрез нов регламент за данните, който най-общо цели отваряне на пазара на производствени данни, генерирани от свързани устройства. Новият регламент ще засегне всички производители на умни устройства, предназначени за вграждане в индустриална или потребителска компютърна мрежа (IoT). Те ще трябва да споделят данните, относими към диагностиката, консумацията на енергия, ефективността и пр.
Тиери Бретон, комисар по въпросите на вътрешния пазар, коментира: "До момента се използват само малка част от промишлените данни, а потенциалът за растеж и иновации е огромен. Законът за данните ще гарантира, че промишлените данни се споделят, съхраняват и обработват при строго спазване на европейските правила."
Обемът на данните непрекъснато нараства - от 33 зетабайта, генерирани през 2018 г., до 175 зетабайта, които се очакват през 2025 г. (Един зетабайт се равнява на един секстилион байта или един трилион гигабайта). Към момента 80% от промишлените данни никога не се използват. ЕК е на мнение, че новите правила ще предоставят повече данни за повторна употреба от правителствата и бизнеса, ще подобрят способността за превключване в облак и ще гарантират оперативна съвместимост на данните в ЕС.
Сериозните опасения на бизнеса
В същото време бизнесът предупреждава: "ако изпуснем това законодателство, GDPR ще ни се стори като детска игра". Заявява го не друг, а една от най-големите лобистки организации в Брюксел, представляваща над 40 национални браншови и работодателски организации - BusinessEurope. Данните, за които става дума в проекта за нов регламент, засягат до голяма степен и търговските тайни на предприятията, а с влизане на новото законодателство, компаниите ще са длъжни да ги споделят с клиенти, доставчици на услуги и евентуално правителства или европейски институции. В този контекст проблемите са няколко: от една страна законодателството за данните в ЕС е сравнително ново и фирмите не го познават добре, в много държави няма и ясна дефиниция на търговската тайна и кой има права върху нея, а и организациите не са наясно с терминологията, свързана с всичко това.Всъщност едва 38% от предприятията одобряват проектопредложението на ЕС по отношение на данните (за разлика от 91% от публичните органи, които искат такива законодателни действия), става ясно от предварителния анлиз на ЕК. Инициативата на комисията вече преминава в законодателната си процедура и до влизането в сила остават няколко месеца. Политици, анализатори и компании предупреждават, че има натиск това да се случи изключително бързо - до пролетта, което крие огромни и трудно измерими рискове за бизнеса с оглед на това, че става въпрос за законодателство съпоставимо като ефект с GDPR, с по-голям обем, а и пряко свързано с него.
Накратко за законодателството
Ако предложението на ЕК се приеме в сегашния си вид от Европейския парламент и Съвета, то занапред производители и дизайнери ще трябва проектират продуктите си по начин, който прави данните лесно достъпни. Данните от смарт устройства било то в business-to consumer или business to business, които даден потребител генерира, ще могат да се изискват от него и да се предоставят на трети лица. Например: при покупка на смарт перална машина с поддръжка, гарантирана от производителя, поддръжката ще може да се предостави на трето лице, посочено от потребителя.Задължение на производителя е и да споделя данни, свързани с търговските му тайни, ако те ще са необходими за предоставянето на услуга от трето лице, която е изискана от потребителя. Условието е да се предприемат мерки за запазване на конфиденциалността на търговската тайна, а третите лица, които получават данните, са пряко задължени да не ги използват за конкуриращ се продукт.
Допълнително, в случай на криза или извънредна ситуация (които не са добре дефинирани в проекта), органи от публичния сектор ще могат да задължат производителя да дава достъп до данните, генерирани от потребителите.
Регламентът ще засегне всички сектори, в най-висока степен производителите. Но пък микро и малки предприятия ще са освободени от задължението да предоставят на потребителите достъп до данните им - по инициатива на евродепутата консерватор и докладчик в ЕП по темата Пилар дел Кастило Вера, който посочва риска от претоварване на малките и средните предприятия "чрез налагане на допълнителни задължения за проектиране във връзка с продуктите, които проектират или произвеждат, или свързаните с тях услуги, които биха могли да предоставят". Но ако тези предприятия са свързани с голяма компания, тогава ще влязат в обхвата на законодателството.
Рисковете
"Търговските тайни са това, което създава конкурентоспособността на участниците в пазара. Тези тайни са функция на управленските решения, инвестициите, развойната дейност и иновациите, които компаниите са предприели през годините. Това често е свързано и с бизнес рискове, които компаниите поемат. Съответно, задължението да се предоставят търговски тайни до неясен брой потребители и до други компании, би имало охлаждащ ефект за инвестициите в Европа в умни продукти", коментира пред "Капитал" Светлана Стоилова, съветник дигитална икономика в BusinessEurope. "Освен това, ако в Европа данните на компаниите, свързани с търговски тайни, могат лесно да се изискват от потребителите, не е ясно с какви намерения нови потребители или новосъздадени доставчици на услуги ще започнат да изискват тези данни и къде по света информацията от тези данни ще бъде споделяна и с каква цел", добавя тя.Независимо от мерките за конфиденциалност, няма как една тайна да се опази, ако се сподели на десетки или стотици лица/потребители. Остава отворен и въпросът как се прилага споразумение за конфиденциалност с физическо лице, какви биха били техническите средства един страничен човек да бъде спрян да сподели търговска тайна? Веднъж разкрита, стойността на търговската тайна се губи. Независимо дали компанията, чиято тайна е разкрита, ще спечели дело или получи обезщетение - вредата е сторена.
Освен това в проучване, възложено от самата комисия, се прави заключение, че е по-добре да не се избързва със законодателство по темата, а по-скоро да се предложат меки мерки и пояснения как да се запази защитата на търговски тайни в икономиката от данни. Задължението да не се ползват получените данни за направата на конкуриращ се продукт също е трудно да се приложи на практика, защото липсва дефиниция какво би било конкуриращ се продукт.
Мненията на различните органи за консултация на законодателството също са красноречиви. Regulatory scrutiny board, независият орган на ЕК, който съветва колегията на комисарите, обяснява, че е необходимо по-ясно разграничаване на това законодателство и уточнения как пасва в общата законодателна рамка. Първоначално те дори изразяват негативно мнение за инициативата.
Становището на European Data Protection Board, чиято цел е да гарантира последователно прилагане на Общия регламент за защита на данните и да насърчава сътрудничеството между органите за защита на данните на ЕС, съдържа критика за аспектите, свързани с GDPR, и изобщо как регламентът за данни и GDPR ще работят заедно. Липсата на добре обосновани и дефинирани политики за споделяне на данни, особено между бизнеса и държавата, също е проблематична.
"Данните за дейностите по сигурността са свързани с критични и много чувствителни операции и процедури. С достъп до тези данни би било възможно да се получи много задълбочено разбиране на инсталирането и работата на системата или услугата. Това би довело до много висок риск от пробиви в сигурността, включително пробиви в киберсигурността, както за дадена клиентска инсталация, така и за цялата система за сигурност", разкриват от Euralarm, която представлява индустрията за пожарна безопасност и сигурност в ЕС. "Критичността на данните, генерирани от системи за сигурност (като системи за видеонаблюдение), вече е призната от националните закони, регулиращи личната сигурност и инсталирането на системи за видеонаблюдение. Тези закони ограничават правото за споделяне на информация, свързана с или генерирана от системите. Следователно разпоредбите за споделяне на данни в проекта на Регламент за данните са в противоречие с тези национални закони", смятат още от организацията.
От друга страна, "бизнесите сътрудничат проактивно с държавата, когато има обществена криза/извънредно положение. Това беше видимо и при пандемията", казва още Светлана Стоилова. "Липсата на конкретика в изискванията на новия регламент към бизнесите да предоставят данни на публичния сектор, когато няма криза, е неясно и от гледна точка на демократична прозрачност и отчетност. Не е ясно защо е необходимо да се прескача нормална законодателна процедура. Ако публичният сектор смята, че дадени данни са необходими за извършването на услуга от обществено значение, какво пречи да се измени или обнови съответния закон, така че да има ясна следа от кога и как тези данни могат да се изискват от въпросния орган на публичния сектор", допълва тя.
"И накрая, достъпът до чисти оперативни данни/метаданни не осигурява никаква полза за крайния потребител, нито позволява по-плавно превключване на доставчика. Следователно няма полза от разрешаването/налагането на каквито и да било изисквания за начина, по който данните трябва да бъдат достъпни или управлявани" коментират от Euralarm.
Кога ще влезе в сила?
В момента законодателното предложение от ЕК преминава паралелно през няколко комисии в Европейския парламент, като има политически натиск за бързо решение. По информация на брюкселското издание Euractiv, чешкото председателство на Европейския съвет търси активно компромиси по най-проблематичните текстове, а целта е постигане на политическо решение до пролетта. Това означава прилагане на новите правила още през 2024г. след като мине едногодишният срок на адаптиране.Предложенията на чехите засягат обхвата на закона, споделянето на данни от IoT устройства и разрешаването на спорове, когато производителят на продукта и потребителите не са съгласни с условията. Освен това, с цел да се възприеме по-лесно проектът, се предлага публичният достъп до данни да бъде ограничен до няколко европейски институции, а не и до правителствата. Предвижда се да се задължат производителите на устройства да инсталират интерфейси на свързани устройства за лесно експортиране на данни в рамките на една година от влизане в сила на регламента.
Бизнесът все още може да реагира в най-кратки срокове чрез евродепутатите или правителствата си (в Съвета), за да променят критичните точки в подготвяното ново законодателство за данните.