GDPR: основні проблеми та консенсус щодо застосування норм Регламенту

Навіть більше ніж через два роки після того як в Європі набув чинності новий Загальний Регламент про Захист Даних (GDPR), все ще залишається питання стосовно того, чи нарешті знайшли контролюючі органи консенсус в застосуванні норм цього документу та які основні існують проблеми в застосуванні норм GDPR.

Невирішені питання

Наразі, в Європейському Союзі, залишається невирішеним цілий ряд питань, пов’язаних із застосуванням GDPR, зокрема, але не виключно, існує таке питання як суворість покарань, що застосовуються до компаній, які порушують GDPR. Мова йде, наприклад, про ситуації, коли компанія не повідомляє про настання порушення даних (personal data breach) відповідним органам протягом 72 годин після їх виявлення. Компанії також стикаються з санкціями, якщо їм не вдається належним чином захистити особисті дані європейців, незалежно від того, чи відбувається порушення.

Не зважаючи на те, що GDPR вже діє більше двох років, враховуючи тенденцію притягнення до відповідальності та причини такого притягнення, варто спрогнозувати, що для досягнення більш ефективного застосування General Data Protection Regulation та санкцій, які пов’язані з його невиконанням, знадобиться ще мінімум два роки, якщо не більше, для узгодженості не лише між країнами-членами ЄС, але й усередині будь-якої країни. Цей період може забезпечити більшу передбачуваність для компаній, які зазнають санкцій за порушення умов обробки даних у відповідності з GDPR, а також надасть їм можливість краще адаптувати процеси в середині компанії, по’вязані з обробкою даних.

Зосереджуючись на питаннях, які наразі GDPR не в змозі вирішити, потрібно зазначити, що по суті, Регламент ЄС забезпечує наявність цілого ряду цінностей,  однак при цьому не накладаючи жодної стандартизаційної вимоги.

Проблема, в основному, полягає у труднощах, з якими стикаються компанії, які намагаються передбачити потенційні наслідки порушення GDPR. Співробітники компанії BSO Privacy Group, надаючи послуги по забезпеченню відповідності GDPR для українських, транснаціональних компаній та корпорацій, все частіше стають свідками таких складнощів.

Проблематика GDPR в застосуванні штрафів

GDPR – це документ, який змінив правила в сфері обробки персональних даних та, відповідно, вносить велику кількість змін в цю сферу. Однією з основних змін, яку запровадив GDPR, є те, що цей документ захистив персональні дані на законному рівні. Раніше держави-члени ЄС підпорядковувались лише директиві про захист даних, зокрема Директиві 1995/46/ЄС, яку кожна країна імплементувала у своє внутрішнє законодавство відповідно до власних інтересів та власного порядку. В результаті, різні країни-члени ЄС іноді застосовували шалено різні підходи до захисту даних, включаючи потенційні санкції.

Тільки один приклад: У 2008 році прокурори в Італія звинуватили керівництво Google у тому, що вони не змогли запобігти завантаженню на Google Italia YouTube відео підлітків, які знущаються над іншим хлопчиком із синдромом Дауна. Відео було видалено через 24 години після завантаження, однак компанія Google не була в змозі повністю сформулювати те як використовуються особисті дані людей, які користуються їхніми сервісами. Звинувачення передбачало максимальний термін ув’язнення у три роки і деякі з керівників були засуджені за звинуваченнями у 2010 році. Вирок був скасований Міланським судом у 2013 році.

Зараз, GDPR це закон, що поширюється на всі держави-члени ЄС, і  який Європарламент прийняв, щоб забезпечити уніфікованість застосування правил по забезпеченню безпеки обробки даних. І хоча правова та культурна історія кожної держави – члена ЄС все ще впливає на інтерпретацію та застосування правил захисту даних, GDPR забезпечує більш чітку законодавчу базу для регламентації обробки персональних даних.

Крім того, Європейська рада з питань захисту даних (EDPB), яка була створена як незалежний орган ЄС, є відповідальна за забезпечення послідовного застосування GDPR та спільної роботи контролюючих органів у всіх держави-членах ЄС та служить основним фактором узгодженості.

Велика різниця між попередніми нормативними документами та GDPR полягає в тому, що існує механізм узгодженості та співпраці в процесі вирішення спорів, який допомагає встановити послідовність у транскордонних справах, у яких беруть участь численні контролюючі органи.

Однак, разом з цим, варто підкреслити, що компаніям доволі не легко використовувати GDPR в силу складності інтерпретації положень цього документу. Наприклад, закон стверджує, що контролюючі органи можуть накладати штрафи на суму до 20 мільйонів євро або 4% річного глобального доходу компанії – залежно від того, що більше. Незважаючи на це, перелік критеріїв, що підлягають оцінці – для зважування суми санкції є не досить детальним, що в свою чергу ускладнює можливість застосовувати алгоритм накладення штрафів навіть в рамках одного контролюючого органу щодо різних випадків та сценаріїв. З цього виходить, що контролюючі органи можуть встановити будь-який штраф, який вони виберуть.

Компанії також можуть оскаржити штрафи в суді, і в результаті цього, ми наразі маємо деякі “незручні зміни”, зокрема у остаточних штрафах в рамках судових справ, в яких беруть участь Управління уповноваженого з питань інформації Великобританії (ICO), а також регуляторні органи в Німеччині.

За останні місяці ICO завершила два тривалих розслідування, оголосивши остаточні штрафи GDPR у розмірі 20 мільйонів фунтів стерлінгів для British Airways та 18,4 мільйона фунтів стерлінгів для Marriott, що становило відповідно 90% та 80% від суми, яку ICO пропонувала спочатку. Співпрацюючи з іншими органами державної адміністрації, ICO заявляє, що при встановленні переглянутих штрафів враховувалися поточний економічний клімат, а також інші фактори, включаючи пандемію COVID-19. Але юридичні експерти кажуть, що остаточні суми також були розроблені, щоб запобігти будь-яким апеляційним позовам.

Разом з тим, у листопаді 2020 року німецький суд зменшив на 90% штраф, накладений німецьким контролюючим органом на 1&1 Telecom через недоліки захисту даних кол-центру. У випадку з цією компанією формується консенсус щодо того, щоб штрафи розраховувались в основному на основі реальної заподіяної шкоди та фактичного впливу на суб’єктів даних, а не як більш каральний захід до компанії.

Чи несе GDPR нам покращення

На думку деяких спеціалістів, уникнення гучних штрафів, що потрапляють на заголовки газет, може також бути надійним довгостроковим підходом для забезпечення кращого дотримання вимог GDPR. Повторні, гарантовані, низькі штрафи, що стягуються послідовно і неодноразово – як квитки за паркування або штрафи за перевищення швидкості – мають сукупний ефект і скоріш за все не будуть провокувати дії, які ми можемо спостерігати в ситуаціях з ICO та німецьким контролюючим органом.

Ще одне нововведення, на яке ми звернули увагу,  було запроваджено в Італії і полягає в тому, що будь-які компанії, які отримали штраф GDPR, і які вирішили сплатити штраф негайно, не оспорюючи його, отримують знижку 50% від вартості штрафу. Однак, будь-яка компанія, яка вирішить оскаржити штраф у суді, повинна виплатити повну суму штрафу.

Для визначення того, на скільки ефективним є GDPR, що важливо розглядати не просто штрафи, як інструмент, а й інші важливі орієнтири, наприклад, увагу, яку багато компаній, в результаті прийняття GDPR, почали приділяти приватності та захисту даних.

Завдяки цьому новому регламенту, компанії та громадські організації почали серйозно розглядати питання захисту персональних даних у своїй повсякденній діяльності, не тільки щоб уникнути штрафу, але й для того щоб скористатися новими видами переваг, які застосовуються до компаній, які є GDPR compliance. Мова йде про більшу конкурентоспроможність, більша прозорість діяльності, зокрема більша прозорість щодо суб’єктів даних – споживачів або громадян – і, як наслідок, підвищення рівня довіри з боку громадськості. Це нові можливості, які створює GDPR.

Всі ці фактори впливають на покращення середовища, в рамках якого може здійснюватися обробка персональних даних. І поки європейські законодавці продовжують вдосконалювати законодавство, спрямоване на захист приватності та персональних даних, досягаючи консенсусу в застосуванні норм GDPR в ЄС та по всьому світу, кожна компанія повинна індивідуально вирішувати питання захисту даних, тим самим стаючи частиною механізму, основною метою якого є гарантія загальнолюдських цінностей та прав людини.