Почему регулирование GDPR скоро изменится и кого это затронет |
Когда чуть меньше 3 лет назад вступил в силу Общий регламент по защите персональных данных (General Data Protection Regulation — GDPR), все думали, что не будет глобальных трудностей с унифи-цированным внедрением новых требований. Но время показало, что равномерного внедрения пока не наблюдается.
Дело даже не в расхождениях во взглядах национальных регуляторов касательно того, с какой скоростью и строгостью следует карать нарушителей. Однако выяснилось, что действующие до сих пор требования национального законодательства европейских государств в отдельных случаях имеют более высокий приоритет и иногда даже отменяют собой по факту положения GDPR.
В качестве недавнего примера Compliance Week приводит штраф в 14,5 млн евро против немецкой компании Deutsche Wohnen, который та должна была бы заплатить за нарушение GDPR. Только штраф отменили, когда Районный суд Берлина выяснил, что по немецким законам компанию нельзя привлечь к ответственности. Разве что удалось бы переложить вину на конкретного исполнителя в организации, но такого требования нет даже в самих требованиях GDPR, где оговаривается ответственность на организационном уровне. Это то самое противоречие в самом регламенте по защите персональных данных, которое и порождает все случаи, подобные описанному в этом абзаце.
Экспертов беспокоит, что суды в других странах также придерживаются аналогичной линии поведения. Не далее как в прошлом году Федеральный административный суд Австрии, например, аннулировал принятое решение наложить 18-миллионный штраф на государственную почтовую службу Austrian Post.
А во Франции в декабре прошлого года национальный орган надзора (CNIL) вообще отказался ориентироваться на GDPR и покарал Google и Amazon в соответствии со своими собственными требованиями законодательства за использование файлов cookie. Многие эксперты тогда отметили, что французские власти, судя по всему, заранее решили ориентироваться на собственное национальное законодательство, потому что оно позволяет привлекать виновных к ответственности намного быстрее, чем это возможно с GDPR.
Далеко не все европейские органы надзора публикуют свои решения по штрафам за нарушения в этой области, что дает основания допускать даже более широкое распространение проблемы.
Предположим, в отдельно взятой стране агентство по защите персональных данных анализирует конкретный случай и приходит к определенному решению. Это решение, ввиду подразумеваемых механизмом регулирования GDPR «единства и общности», еще нужно отстоять перед 26 органами регулирования безопасности персональных данных из других стран ЕС. Это требование установлено в статье 60 GDPR. В первоначальное решение в итоге вносятся какие-то коррективы, и в измененном виде оно согласно статье 65 еще должно получить окончательное одобрение Европейского Совета по защите персональных данных (European Data Protection Board — EDPB) — главной организации этого плана в ЕС.
Это занимает очень много времени и отнимает очень много ресурсов. Эксперты считают столь сложный подход просто несостоятельным в долгосрочной перспективе.<...>