GDPR: основные проблемы и консенсус относительно применения норм Регламента

Более чем через два года после того как в Европе вступил в силу новый Общий Регламент о Защита Данных (GDPR), все еще остается вопрос относительно того, наконец-то нашли контролирующие органы консенсус в применении норм этого документа и какие основные существуют проблемы в применении норм GDPR .

нерешенные вопросы

Сейчас в Европейском Союзе, остается нерешенным целый ряд вопросов, связанных с применением GDPR, в частности, но не исключительно, существует такой вопрос как строгость наказаний, применяемых к компаниям, которые нарушают GDPR. Речь идет, например, о ситуации, когда компания не сообщает о наступлении нарушения данных (personal data breach) соответствующим органам в течение 72 часов после их обнаружения. Компании также сталкиваются с санкциями, если им не удается должным образом защитить личные данные европейцев, независимо от того, происходит нарушение.

Несмотря на то, что GDPR уже действует более двух лет, учитывая тенденцию привлечения к ответственности и причины такого привлечения, стоит спрогнозировать, что для достижения более эффективного применения General Data Protection Regulation и санкций, связанных с его неисполнением, понадобится еще минимум два года, если не больше, для согласованности не только между странами-членами ЕС, но и внутри любой страны. Этот период может обеспечить большую предсказуемость для компаний, которые испытывают санкций за нарушение условий обработки данных в соответствии с GDPR, а также предоставит им возможность лучше адаптировать процессы внутри компании, поьвязани с обработкой данных.

Сосредотачиваясь на вопросах, которые сейчас GDPR не в состоянии решить, нужно отметить, что по сути, Регламент ЕС обеспечивает наличие целого ряда ценностей, однако при этом не накладывая ни стандартизационных требования.

Проблема в основном заключается в трудностях, с которыми сталкиваются компании, которые пытаются предсказать потенциальные последствия нарушения GDPR. Сотрудники компании BSO Privacy Group, предоставляя услуги по обеспечению соответствия GDPR для украинских, транснациональных компаний и корпораций, все чаще становятся свидетелями таких сложностей.

Проблематика GDPR в применении штрафов

GDPR — это документ, который изменил правила в сфере обработки персональных данных и, соответственно, вносит большое количество изменений в эту сферу. Одной из основных изменений, которую ввел GDPR, является то, что этот документ защитил персональные данные на законном уровне. Ранее государства-члены ЕС подчинялись только директиве о защите данных, в частности Директиве 1995/46 / ЕС, которую каждая страна имплементировала в свое внутреннее законодательство в соответствии с собственными интересами и собственного порядке. В результате, различные страны-члены ЕС иногда применяли безумно разные подходы к защите данных, включая потенциальные санкции.

Только один пример: В 2008 году прокуроры Италия обвинили руководство Google в том, что они не смогли предотвратить загрузку на Google Italia YouTube видео подростков, которые издеваются над другим мальчиком с синдромом Дауна. Видео было удалено через 24 часа после загрузки, однако компания Google не была в состоянии полностью сформулировать то как используются личные данные людей, которые пользуются их сервисами. Обвинение предусматривало максимальный срок заключения до трех лет и некоторые из руководителей были приговорены по обвинению в 2010 году. Приговор был отменен Миланским судом в 2013 году.

Сейчас, GDPR это закон, который распространяется на все государства-члены ЕС, и который Европарламент принял, чтобы обеспечить унифицированность применения правил по обеспечению безопасности обработки данных. И хотя правовая и культурная история каждого государства — члена ЕС все еще влияет на интерпретацию и применение правил защиты данных, GDPR обеспечивает более четкую законодательную базу для регламентации обработки персональных данных.

Кроме того, Европейский совет по защите данных (EDPB), которая была создана как независимый орган ЕС, ответственен за обеспечение последовательного применения GDPR и совместной работы контролирующих органов во всех государствах-членах ЕС и служит основным фактором согласованности.

Большая разница между предыдущими нормативными документами и GDPR заключается в том, что существует механизм согласованности и сотрудничества в процессе разрешения споров, который помогает установить последовательность в трансграничных делах, в которых принимают участие многочисленные контролирующие органы.

Однако, вместе с этим, следует подчеркнуть, что компаниям довольно не легко использовать GDPR в силу сложности интерпретации положений этого документа. Например, закон утверждает, что контролирующие органы могут налагать штрафы на сумму до 20000000 евро или 4% годового глобального дохода компании — в зависимости от того, что больше. Несмотря на это, перечень критериев, подлежащих оценке — для взвешивания суммы санкции не достаточно подробным, что в свою очередь затрудняет возможность применять алгоритм наложения штрафов даже в рамках одного контролирующего органа по различным случаев и сценариев. Из этого следует, что контролирующие органы могут установить любой штраф, который они выберут.

Компании также могут обжаловать штрафы в суде, и в результате этого мы сейчас имеем некоторые «неудобные изменения», в частности в окончательных штрафах в рамках судебных дел, в которых участвуют Управление уполномоченного по вопросам информации Великобритании (ICO), а также регуляторные органы в Германии.

За последние месяцы ICO завершила два длительных расследование, объявив окончательные штрафы GDPR в размере 20000000 фунтов стерлингов для British Airways и 18,4 миллиона фунтов стерлингов для Marriott, что составляло соответственно 90% и 80% от суммы, которую ICO предлагала сначала. Сотрудничая с другими органами государственной администрации, ICO заявляет, что при установлении просмотренных штрафов учитывались текущий экономический климат, а также другие факторы, включая пандемию COVID-19. Но юридические эксперты говорят, что окончательные суммы также были разработаны, чтобы предотвратить любые апелляционным искам.

Вместе с тем, в ноябре 2020 немецкий суд уменьшил на 90% штраф, наложенный немецким контролирующим органом на 1 & 1 Telecom за недостатков защиты данных колл-центра. В случае с этой компанией формируется консенсус относительно того, чтобы штрафы рассчитывались в основном на основе реальной причиненного ущерба и фактического влияния на субъектов данных, а не как более карательная мера в компании.

Несет GDPR нам улучшение

По мнению некоторых специалистов, избежать громких штрафов, попадающих на заголовки газет, может также быть надежным долгосрочным подходом для обеспечения лучшего соблюдения требований GDPR. Повторные, гарантированы, низкие штрафы, взимаемые последовательно и неоднократно — как билеты за парковку или штрафы за превышение скорости — имеют совокупный эффект и скорее всего не будут провоцировать действия, которые мы можем наблюдать в ситуациях с ICO и немецким контролирующим органом.

Еще одно новшество, на которое мы обратили внимание, было введено в Италии и заключается в том, что любые компании, которые получили штраф GDPR, и которые решили оплатить штраф немедленно, не оспаривая его, получают скидку 50% от стоимости штрафа. Однако, любая компания, которая решит обжаловать штраф в суде, должна выплатить полную сумму штрафа.

Для определения того, насколько эффективно GDPR, что важно рассматривать не просто штрафы, как инструмент, но и другие важные ориентиры, например, внимание, многие компании, в результате принятия GDPR, начали уделять приватности и защиты данных.

Благодаря этому новому регламенту, компании и общественные организации начали серьезно рассматривать вопрос защиты персональных данных в своей повседневной деятельности, не только чтобы избежать штрафа, но и для того чтобы воспользоваться новыми видами преимуществ, которые применяются к компаниям, которые являются GDPR compliance. Речь идет о большей конкурентоспособности, большая прозрачность деятельности, в частности большая прозрачность в отношении субъектов данных — потребителей или граждан — и, как следствие, повышение уровня доверия со стороны общественности. Это новые возможности, которые создает GDPR.

Все эти факторы влияют на улучшение среды, в рамках которого может осуществляться обработка персональных данных. И пока европейские законодатели продолжают совершенствовать законодательство, направленное на защиту приватности и персональных данных, достигая консенсуса в применении норм GDPR в ЕС и по всему миру, каждая компания должна индивидуально решать вопросы защиты данных, тем самым становясь частью механизма, основной целью которого является гарантия общечеловеческих ценностей и прав человека.