Специфіка реалізації норм GDPR в Естонії

GDPR діє вже давно і кожна компанія вже так чи інакше пристосувала свій бізнес до сучасних вимог обробки персональних даних. Залишається питання стосовно того, де все ж зареєструвати компанію, щоб не потрапити під колеса «GDPR машини», яка зминає всіх, хто розгубився.

Визначення безпечності юрисдикції, в силу суворості законів та інтенсивності притягнення до відповідальності

Починаючи з травня  2018 року ми все частіше чуємо про випадки притягнення тих чи інших компаній до відповідальності за порушення вимог General Data Protection Regulation. В наших попередніх статтях ми розбирали та писали, за які порушення, в сфері захисту персональних даних, компанії найчастіше притягуються до відповідальності. В цій статті дане питання додатково розкриватися не буде, однак, ґрунтуючись на наявній в попередніх матеріалах інформації, ми зможемо зробити висновки щодо, зокрема, і предмету цієї статті.

Не секрет, що найбільше штрафів за порушення в сфері обробки персональних даних наклала Великобританія. Хоча ця країна вже і не є членом Європейського Союзу, однак прецеденти, створені нею, можуть стати цікавою базою для прийняття відповідних рішень вже європейськими судами. Варто зазначити, що правова сиcтема Великобританії доволі сильна, і інтерпретуючи положення GDPR, багато в чому їх доповнює та уточнює.

Щодо країн, які знаходяться на території Європейського Союзу, то варто зазначити, що не на багато відстали від свого північно-західного сусіда такі країни як Франція, Італія, Німеччина, Австрія та Швеція, де розміри накладених штрафів є найбільшими в ЄС. Активність контролюючих органів в цих країнах досить висока, що виявляється у сукупній сумі штрафів, накладених з 2018 по 2020 роки, яка становить 132 000 000 (сто тридцять два мільйони) Євро. Вартість штрафів в цих країнах пропроційно залежить від кількості зафіксованих порушень в сфері обробки персональних даних, що збільшується в геометричній прогресії з кожним місяцем.  

На фоні цієї інформації все ж виділяються деякі країни-члени ЄС, де спостерігається відносне затишшя, в контексті активності контролюючих органів, в питаннях притягнення до відповідальності за порушення обробки персональних даних. До таких юрисдикцій, зокрема, відноситься і Естонська Республіка, де станом на початок 2020 року не було офіційно зафіксовано та опублікованого жодного порушення в сфері обробки та захисту персональних даних.

«Феномен» Естонії

Естонія, будучи в числі світових країн, які активно розвиваються, в тому числі в питаннях діджиталізації, є однією із найідеальніших юрисдикцій для реєстрації та ведення бізнесу. Це забезпечується, перш за все,  спрощеною процедурою реєстрації бізнесу, а також лояльною системою оподаткування.

Окрім всього іншого, в питаннях захисту персональних даних, з нашої точки зору, Естонія займає відносно пасивну позицію, не зафіксувавши жодного порушення персональних даних з дати набрання законної сили GDPR, а тому створює безпечну територію, де компаніям не потрібно відразу після реєстрації витрачати шалені суми коштів для забезпечення GDPR compliance.

Реалізуючи організаційні вимоги, що покладаються на контролюючі органи європейськими нормативними документами, зокрема і GDPR, естонський контролюючий орган (Data Protection Inspectorate), своєю діяльністю, не перекреслює основний вектор розвитку держави, створюючи бар’єр у вигляді суворих «драконівських» заходів в сфері обробки та захисту персональних даних, а навпаки приваблює все нові і нові бізнес інвестиції. Адже основна концепція розвитку Естонії передбачає створення максимально зручних умов для ведення бізнесу, без прихованих небезпек.

Інколи, Data Protection Inspectorate навіть намагається не реагувати на деякі заяви щодо порушення персональних даних, що змушує деяких суб’єктів персональних даних шукати захисту в судових органах Естонії. Так, наприклад, в 2019 році Адміністративний суд Таллінна (Естонська Республіка) постановив, що контролюючий орган повинен розглядати та належним чином обґрунтувати свою відмову при  вирішенні суттєвих питань, які піднімає скаржник. Так, скаржник подав до Data Protection Inspectorate заяву, яку контролюючий орган розцінив як запит на інформацію, а не як скаргу з точки зору статті 77 (1) GDPR. Проте скаржник розраховував, що подання буде розглянуто як скаргу у значенні статті 77 (1) GDPR.

Це свідчить про те, що Data Protection Inspectorate не надто сильно прагне розганяти питання щодо фіксування порушень в контексті застосування GDPR.

Чи безпечно компанії працювати в Естонії?

Незважаючи на таку легковажність чи то конфузну роботу контролюючого органу Естонії, не варто забувати, що ця країна має достатньо надійне внутрішнє законодавство, яке регулює питання захисту та обробки персональних даних і нет тільки. Так в 2018 році були прийняті поправки до Personal Data Protection Act, які набрали чинності з 01 січня 2019 року і в деяких питаннях достатньо жорство уточнюють положення General Data Protection Regulation.

Враховуючи практичну сторону роботи компаній в середовищі обробки даних, яке сформувалося в Естонії, можемо зазначити, що жодна компанія, з числа наших клієнтів, що зареєстрована в цій чудовій країні, ще ніяким чином не зіштовхувалася з Data Protection Inspectorate, в тому числі по питаннях, які могли б виникнути у зв’язку з неналежною чи незаконною обробкою персональних даних в контексті вимог  GDPR.

Звертайтеся до компанії BSO Privacy Group і ми максимально професійно надамо вам інформацію та роз’яснення щодо того, як організувати діяльність вашої компанії в частині обробки персональних даних, в контексті вимог GDPR, внутрішнього законодавства Естонії та іншого релевантного європейського законодавства.

Будьте GDPR compliance!