Специфика реализации норм GDPR в Эстонии

15 июля 2020

GDPR действует уже давно и каждая компания уже так или иначе приспособила свой бизнес современным требованиям обработки персональных данных. Остается вопрос о том, где все же зарегистрировать компанию, чтобы не попасть под колеса «GDPR машины», которая сминает всех, кто растерялся.

Определение безопасности юрисдикции, в силу строгости законов и интенсивности привлечения к ответственности

Начиная с мая 2018 мы все чаще слышим о случаях привлечения тех или иных компаний к ответственности за нарушение требований General Data Protection Regulation. В наших предыдущих статьях мы разбирали и писали, за какие нарушения, в сфере защиты персональных данных, компании зачастую привлекаются к ответственности. В этой статье данный вопрос дополнительно раскрываться не будет, однако, основываясь на имеющейся в предыдущих материалах информации, мы сможем сделать выводы относительно том числе и предмета данной статьи.

Не секрет, что больше всего штрафов за нарушения в сфере обработки персональных данных наложила Великобритания. Хотя эта страна уже и не является членом Европейского Союза, однако прецеденты, созданные ею, могут стать интересной базой для принятия соответствующих решений уже европейскими судами. Стоит отметить, что правовая сиcтема Великобритании довольно сильная, и интерпретируя положения GDPR, во многом их дополняет и уточняет.

Что касается стран, находящихся на территории Европейского Союза, то стоит отметить, что не на много отстали от своего северо-западного соседа такие страны как Франция, Италия, Германия, Австрия и Швеция, где размеры наложенных штрафов являются крупнейшими в ЕС. Активность контролирующих органов в этих странах достаточно высока, что проявляется в совокупной сумме штрафов, наложенных с 2018 по 2020 годы, которая составляет 132 000 000 (сто тридцать два миллиона) Евро. Стоимость штрафов в этих странах пропроцийно зависит от количества зафиксированных нарушений в сфере обработки персональных данных, увеличивается в геометрической прогрессии с каждым месяцем.

На фоне этой информации все же выделяются некоторые страны-члены ЕС, где наблюдается относительное затишье, в контексте активности контролирующих органов, в вопросах привлечения к ответственности за нарушение обработки персональных данных. К таким юрисдикций, в частности, относится и Эстонская Республика, где по состоянию к началу 2020 году не было официально зафиксировано и опубликованного никакого нарушения в сфере обработки и защиты персональных данных.

«Феномен» Эстонии

Эстония, будучи в числе мировых стран, которые активно развиваются, в том числе в вопросах диджитализации, является одной из идеальных юрисдикций для регистрации и ведения бизнеса. Это обеспечивается, прежде всего, упрощенной процедурой регистрации бизнеса, а также лояльной системой налогообложения.

Кроме всего прочего, в вопросах защиты персональных данных, с нашей точки зрения, Эстония занимает относительно пассивную позицию, не зафиксировав никаких нарушений персональных данных с даты вступления в законную силу GDPR, а потому создает безопасную территорию, где компаниям не нужно сразу после регистрации тратить баснословные суммы средств для обеспечения GDPR compliance.

Реализуя организационные требования, возлагаемые на контролирующие органы европейскими нормативными документами, в том числе и GDPR, эстонский контролирующий орган (Data Protection Inspectorate), своей деятельностью, а не перечеркивает основной вектор развития государства, создавая барьер в виде строгих «драконовских» мер в сфере обработки и защиты персональных данных, а наоборот привлекает все новые и новые бизнес инвестиции. Ведь основная концепция развития Эстонии предусматривает создание максимально удобных условий для ведения бизнеса, без скрытых опасностей.

Иногда, Data Protection Inspectorate даже старается не реагировать на некоторые заявления о нарушении персональных данных, заставляет некоторых субъектов персональных данных искать защиты в судебных органах Эстонии. Так, например, в 2019 году Административный суд Таллина (Эстонская Республика) постановил, что контролирующий орган должен рассматривать и должным образом обосновать свой отказ при решении существенных вопросов, которые поднимает жалобщик. Так, жалобщик подал в Data Protection Inspectorate заявление, которое контролирующий орган расценил как запрос на информацию, а не как жалобу с точки зрения статьи 77 (1) GDPR. Однако жалобщик рассчитывал, что представление будет рассмотрено как жалобу в значении статьи 77 (1) GDPR.

Это свидетельствует о том, что Data Protection Inspectorate не слишком сильно стремится разгонять вопрос о фиксации нарушений в контексте применения GDPR.

Безопасно компании работать в Эстонии?

Несмотря на такую ​​легкомысленность или конфузный работу контролирующего органа Эстонии, не стоит забывать, что эта страна имеет достаточно надежное внутреннее законодательство, регулирующее вопросы защиты и обработки персональных данных и имеется только. Так в 2018 году были приняты поправки к Personal Data Protection Act, которые вступили в силу с 1 января 2019 и в некоторых вопросах достаточно гравием уточняют положения General Data Protection Regulation.

Учитывая практическую сторону работы компаний в среде обработки данных, которое сформировалось в Эстонии, можем отметить, что ни одна компания из числа наших клиентов, зарегистрированная в этой замечательной стране, еще никоим образом не сталкивалась с Data Protection Inspectorate, в том числе по вопросам, которые могли бы возникнуть в связи с ненадлежащим или незаконным обработкой персональных данных в контексте требований GDPR.

Обращайтесь в компанию BSO Privacy Group и мы максимально профессионально предоставим вам информацию и разъяснения относительно того, как организовать деятельность вашей компании в части обработки персональных данных в контексте требований GDPR, внутреннего законодательства Эстонии и другого релевантного европейского законодательства.

Будьте GDPR compliance!