Итоги действия GDPR за первые два года

25 мая 2018 года вступил в силу Европейский регламент по защите персональных данных, известный как GDPR (General Data Protection Regulation).

Работа с GDPR - это как поход в Альпы. Регламент содержит более 100 страниц и 50 000 слов.

Не смотря на то, что Регламент европейский, GDPR влияет практически на все digital компании в мире, а также на многие традиционные отрасли бизнеса - от финансовой до фармацевтической и розничной торговли.

Каковы итоги действия GDPR спустя два года?

У GDPR были четко сформулированные цели. Он направлен на повышение конфиденциальности и защиты данных для европейских граждан и содействие свободному перемещению личных данных внутри ЕС.

Каковы позитивные итоги?

Регламент притянул внимание общественности к конфиденциальности и защите персональных данных как никогда ранее и проник практически во все сферы бизнеса. Уведомление и предложение поставить согласие на обработку персональных данных теперь появляется везде, на любом сайте и приложении, а также в сфере услуг. Люди получили возможность эффективнее отстаивать свои права.

Новости об утечке данных стали появляться регулярно, не потому что ранее таких утечек не случалось, просто теперь это стало не просто важным, но и влечет за собой серьезную ответственность, а именно, штрафы достигают 20 млн. евро и до 4% от оборота компании.

Кроме того, Регламент стимулировал появление и развитие профессионалов в области защиты персональных данных, то есть создал новые рабочие места, что ценно в эпоху повальной автоматизации и диджитализации. Собственно, моя юридическая компания Legal Mind также выделила целую практику под задачи GDPR комплаенс и родного ФЗ-152 о персональных данных. Кстати, Калифорнийский Регламент CCPA на очереди.

На данный момент более 500 000 компаний в ЕС уже зарегистрировали ответственных сотрудников и директоров по защите данных в соответствии с требованиями Регламента. Еще тысячи назначили сотрудников по защите данных за пределами ЕС, основываясь на широком экстерриториальном охвате GDPR. Согласно прогнозам, к концу 2022 года более 1 миллиона организаций назначат сотрудника по вопросам конфиденциальности или защиты данных. На эту сферу не должен существенно повлиять экономический кризис.

GDPR оказал глубокое влияние на политику за пределами ЕС. Это связано с тем, что данные, передаваемые из Европы, продолжают защищаться на уровне, эквивалентном уровню в ЕС. Например, Япония, поспешила договориться о mutual adequacy arrangement в рамках своего торгового соглашения с ЕС. Аналог GDPR в той или иной форме внедрен в Бразилии и Индию, которые входят в первую десятку мировых экономик, они уже приняли и находятся в процессе развития законов о защите данных в стиле GDPR. Тот же американский CCPA (California Consumer Privacy Act) в своей разработке ориентировался именно на GDPR, ранее наоборот, чаще ЕС в той или иной степени копировал экстерриториальные законы с разных законов и соглашений США.

В период пандемии GDPR оказался прочной основной для защиты данных людей, которые оказались в изоляции и были вынуждены доверить свои данные для того, чтобы продолжать работать или учиться.

А что насчет негативных итогов?

GDPR многие критикуют за бюрократию и излишнюю жесткость. Его внедрение несет в себе серьезные расходы и возлагает нешуточную ответственность, такие нововведения никогда не нравятся бизнесу.

Остается философским вопрос, достиг ли Регламент своей цели в виде повышения уровня конфиденциальности граждан в цифровую эпоху?

Без сомнения GDPR завалил пользователей большим количеством уведомлений о конфиденциальности и согласиях, который каждый из нас почувствовал на себе, получив десятки, а кто-то и сотни электронных писем, но привело ли это к меньшему количеству отслеживания cookie, спама и маркетинговых электронных писем, отслеживанию геолокации, сбора биометрических или генетических данных? Стали ли уведомления о конфиденциальности в Европе более прозрачными, четкими и краткими, чем раньше?

Одна из проблем GDPR состоит в том, что он проник во все сферы жизни, а государственные органы, которые осуществляют надзор за соблюдением закона, не являются выборными, однако принимают большое количество решений относительно всех субъектов обработки персональных данных, то есть потенциально каждого гражданина ЕС и многих людей и компаний за его пределами. Не слишком ли много власти в одночасье попало в их руки?

Многие инструменты и механизмы GDPR, такие как сертификаты, печати и кодексы поведения, практически не использовались.Не являются они просто лишними? Время покажет.

Тем не менее, всего за 2 года действия суммарный объем выплаченного штрафа за нарушения GDPR составил около 500 млн.евро.

Так, British Airways была оштрафована за нарушение технического регламента на почти 205 млн.евро.

Delivery Hero за нарушения порядка обработки данных оштрафовали на 195 млн.евро.

Конечно, огромные штрафы грозят именно крупным компаниям, поскольку нарушение такими компания Регламента влечет за собой большие последствия, большой резонанс и конечно, им есть чем заплатить. Все таки нужно понимать, что крупные законопроекты широкой географии преследуют своей целью не только наведение порядка в той или иной сфере, но и банально хотят заработать на нарушителях. И в этом смысле GDPR далеко не первый такой закон и пока далеко не чемпион по размеру штрафов.

Соблюдение запутанных требований Регламента GDPR - работа для профильных юристов и специалистов в области персональных данных.

1
1 комментарий

Комментарий недоступен

Ответить