Как ЕС реализует обязательства по внедрению GDPR

Регулирование защиты персональных данных в Европе показывает положительные результаты, но работа должна быть продолжена

Общий регламент по защите персональных данных (ПД) был введен в Европейском союзе в целях сохранения конфиденциальности личной информации. Он предусматривает жесткие санкции, если компании теряют контроль над такой информацией или обрабатывают ее без согласия человека. Для соответствия GDPR бизнесу пришлось провести большую работу. Однако, как отмечают эксперты, менее половины подпадающих под действие Регламента компаний в полной мере выполняют все правила в сфере защиты ПД. В свою очередь, национальным регуляторам для исполнения своих функций не хватает человеческих, финансовых и технических ресурсов.


ГАРМОНИЗАЦИЯ ПРАВИЛ

После четырех лет подготовки и обсуждения Общий регламент ЕС по защите персональных данных (General Data Protection Regulation, GDPR) был одобрен Европарламентом в апреле 2016 года. Документ вступил в силу по всему Европейскому союзу 25 мая 2018 года. Он предусматривает более строгие требования к обработке ПД лиц, находящихся на территории ЕС.

Эксперты отмечают, что GDPR стал реакцией ЕС на вызовы экономики Big Data. Его цель – повышение защиты личного пространства в условиях, когда объемы самых разнообразных данных, в том числе биометрических, стремительно растут, наполняя «цифровой след» человека, и, в случае ненадлежащей обработки и хранения, могут быть использованы в противоправных целях.

Невыполнение требований GDPR влечет риск наложения штрафов в размере до 20 млн евро или 4% от глобального годового оборота компании за весь предыдущий финансовый год (в зависимости от того, какая сумма больше). В случае кражи ПД виновник должен в течение 72 часов предупредить об инциденте регулятора и всех пострадавших.

Для соответствия GDPR компаниям, особенно тем, чей бизнес обрабатывает большие объемы ПД, пришлось провести тщательную работу, пересмотреть свои внутренние документы, договоры с подрядчиками, получить согласие физических лиц и принять необходимые изменения в политике конфиденциальности.

Регламент также призван гармонизировать действующие положения об обработке персональных данных между членами ЕС и обеспечить беспрекословное соответствие новому закону

Это значит, что большая работа должна вестись со стороны государств.

В целях действенного и единообразного применения GDPR членам ЕС потребовалось учредить институты национальных регуляторов в сфере ПД (в тех странах, где их еще не было) и наделить их необходимым набором полномочий, а также модернизировать собственные законодательства в части, касающейся защиты ПД.

Согласно отчету Европейской комиссии, который был опубликован по итогам двух лет применения GDPR, за исключением Словении, все государства имплементировали указанные меры в полном объеме. Ключевая задача гармонизации правил на пространстве ЕС считается выполненной.


НЕХВАТКА РЕСУРСОВ

В статье 52 GPDR говорится, что национальные правительства должны предоставлять органам по надзору за соблюдением Регламента (Data protection authority, DPA) человеческие, финансовые и технические ресурсы, необходимые для выполнения их задач.

Как отмечается в отчете Еврокомиссии, несмотря на то, что в период с 2016 по 2019 год в Европейской экономической зоне произошло увеличение численности персонала на 42% и бюджета национальных органов по защите данных на 49%, ситуация в целом пока неудовлетворительная.

Сильнее всего вырос штат DPA в Ирландии, Голландии, Исландии, Люксембурге и Финляндии.

В свою очередь, компания Brave опубликовала отчет, в котором заявила о том, что DPA неспособны в полной мере бороться с нарушениями GDPR.

В исследовании отмечается недоукомплектованность аппаратов DPA профильными специалистами и ограниченность их бюджетов.

Из отчета Brave:

– Наши данные показывают, как мало технических экспертов работают над выявлением нарушений GDPR. Даже когда нарушение очевидно, DPA не решаются использовать свои полномочия против крупных технологических компаний, потому что они не могут позволить себе затраты на юридическую защиту своих решений в суде.

По данным Brave, годовые приросты бюджетов DPA достигли пика в 24% в 2019 году, но теперь замедлились до 15 процентов. Некоторые страны ЕС сделали резкие сокращения: например, Португалия снизила бюджет своего DPA на 203 тыс. евро в период с 2018 по 2020 год.

Только органы Великобритании, Германии, Италии и Франции имеют бюджеты более 20 млн евро. У половины DPA ЕС годовой бюджет – менее 5 млн евро. У трех (в Эстонии, на Мальте и Кипре) – меньше 1 млн евро.

Что касается кадров, то только 6 из 28 национальных DPA ЕС имеют более десяти технических специалистов (Германия, Испания, Франция, Великобритания, Ирландия и Греция), в то время как в 7 ведомствах только по два технических специалиста (или меньше).


ОПРЕДЕЛИТЬСЯ С ВОЗРАСТОМ

В отчете Еврокомиссии говорится, что в целом государствам удалось гармонизировать национальные законодательства в сфере защиты ПД, но все же остаются расхождения.

Например, 

проблемным моментом в имплементации GDPR стала возможность самостоятельного определения странами параметров правомерности обработки ПД несовершеннолетних

Согласно статье 8 GDPR, ребенок может дать свое согласие на обработку собственных данных с 16 лет. Однако государствам-членам разрешается устанавливать свой собственный возраст согласия с ограничением в 13 лет.

По данным Еврокомиссии, только в девяти государствах ЕС (Венгрии, Германии, Ирландии, Люксембурге, Нидерландах, Польше, Румынии, Словакии и Хорватии) власти решили придерживаться установленного Регламентом возрастного порога: до достижения лицом 16 лет создание аккаунта и последующая обработка ПД ребенка допускается лишь с согласия родителей.

В других странах ЕС ценз, при котором согласие несовершеннолетних на предоставление им онлайновых услуг считается законным, понижен до 13 лет – в Бельгии, Великобритании, Дании, Латвии, на Мальте, в Швеции, Финляндии, Эстонии. До 14 лет – в Австрии, Болгарии, Испании, Италии, на Кипре и в Литве и до 15 лет – в Чехии и Франции.

Существующая разница в возрасте согласия влечет неопределенность относительно прав детей на защиту ПД. Это также создает проблемы для компаний с трансграничным бизнесом и тех, что разрабатывают технологические решения в сфере кибербезопасности.

«Для эффективного функционирования внутреннего рынка и чтобы избежать ненужной нагрузки на компании, важно, чтобы национальное законодательство не выходило за рамки, установленные GDPR, и не вводило дополнительных требований», – говорится в отчете Еврокомиссии.

Отраслевой эксперт Мартин Шофилд в своей статье рассуждает об этой проблеме на примере Великобритании, где возраст согласия составляет 13 лет, то есть самый низкий порог, который допускает GDPR.

Ссылаясь на данные опросов, он отмечает, что 13-летние дети не могут делать осознанный выбор в отношении своих прав, касающихся защиты ПД. М.Шофилд также настаивает на необходимости родительского контроля. По крайней мере, взрослые должны дать пояснения своим детям по этой теме, уверен эксперт.


НЕ ПРОТИВОРЕЧИТЬ СВОБОДЕ СЛОВА

Существуют также различия в трактовке государствами – членами ЕС критериев, определяющих юрисдикцию страны в рамках трансграничных споров в сфере защиты ПД. Например, во Франции определяющим считается место фактического проживания субъекта данных, в Германии и Нидерландах – место учреждения юридического лица.

Непростой задачей реализации положений Регламента также является поиск баланса между требованиями обеспечения защиты ПД и свободы слова. Некоторые национальные законодательства устанавливают приоритет выражения мнения, в то время как другие – защиты ПД, за редким исключением, например, когда речь идет о человеке с публичным статусом.

По данным Еврокомиссии, имеется несколько случаев злоупотреблений со стороны национальных регуляторов, когда предъявляемые ими требования к СМИ раскрыть источники информации по резонансным расследованиям продиктованы давлением со стороны властных элит (Словакия, Румыния).

Еврокомиссия отмечает, что правила защиты данных (а также их толкование и применение) не должны влиять на осуществление свободы слова и информации

В целях достижения большего единообразия и гармонизации правил в странах – членах ЕС ведется регулярный мониторинг независимости DPA, отслеживаются случаи неверного толкования положений Регламента или злоупотреблений со стороны национальных властей под предлогом защиты ПД.


ПЕРВЫЕ ШТРАФЫ

К началу 2020 года европейские регуляторы наложили 114 млн евро штрафов нарушителям GDPR, сообщало агентство Reuters со ссылкой на отчет юридической фирмы DLA Piper.

По количеству уведомлений о нарушениях лидируют органы Нидерландов, Великобритании и Германии.

Эксперты отмечают, что высокие размеры штрафов стимулируют бизнес соблюдать требования Регламента, открыто информировать граждан о применяемой ими политике ЗПД.

При этом

с целью повышения эффективности применения положений GDPR национальные регуляторы, наряду со штрафами, могут использовать и иные инструменты воздействия на нарушителей

Например, временное ограничение или полный запрет на обработку ПД, ограничения при передаче данных в третью страну.

В целом DPA стремятся решать проблемы посредством заинтересованного диалога, для чего разрабатывают руководства, которые позволяют компаниям правильно оценить риски и своевременно предпринять требующиеся от них меры.


ГОТОВЫ НЕ ВСЕ

Летом прошлого года Еврокомиссия констатировала, что соблюдение правил GDPR помогло компаниям повысить безопасность обрабатываемых данных и развить конфиденциальность как конкурентное преимущество.

Вера Юрова, которая в тот момент занимала должность комиссара по вопросам юстиции, прав потребителей и гендерного равенства (с ноября 2019 года она заместитель председателя Европейской комиссии, еврокомиссар по защите европейских ценностей и обеспечению транспарентности), отмечала: «GDPR приносит свои плоды. Он снабжает европейцев мощными инструментами для контроля над своими персональными данными. Это дает бизнесу совершать цифровую революцию, обеспечивая при этом доверие людей. За пределами Европы Регламент открывает возможности обмена потоками данных между странами, разделяющими ценности ЕС. Но для того чтобы новый режим защиты данных стал полностью работоспособным и эффективным, необходимо продолжать работу».

В исследовании, проведенном по заказу международной юридической фирмы McDermott Will & Emery, говорится, что почти 50% респондентов столкнулись по крайней мере с одним нарушением персональных данных, о котором требовалось сообщить в соответствии с GDPR.

45% компаний из ЕС сделали соответствующее сообщение регулятору.

Среди других наиболее заметных выводов:

  • Четверть респондентов говорят о том, что их готовность реагировать на нарушение данных GDPR очень низка.
  • Только 18% организаций полностью уверены в своей способности сообщить о предполагаемом нарушении данных соответствующему регулятору в течение 72 часов.

В докладе подчеркивается, что, хотя компании сообщают о значительных инвестициях в соблюдение требований GDPR, все еще существуют риски, связанные с их способностью предотвращать, а затем и реагировать на нарушения.

По мнению ряда экспертов,

менее половины подпадающих под действие Регламента компаний в полной мере выполняют все правила в сфере защиты ПД

Особенно в части, касающейся информирования граждан о том, как будет обрабатываться информация о них. Одной из возможных причин такого положения дел является общее несоответствие бизнес-процессов компаний высокому уровню цифровизации, который определяется по следующим критериям: доступ более 50% персонала к интернету, привлечение IT-специалистов, наличие высокоскоростной связи и веб-сайта, оснащенного интерактивными функциями, осуществление операций на электронных торговых площадках и т.д. В полной мере на онлайновые технологии перешло менее 20% компаний в ЕС.

Изображение: RSpectr, Freepik.com

ЕЩЕ ПО ТЕМЕ:

Европеизация данных
Как российскому бизнесу выполнить требования GDPR и не получить гигантские штрафы