GDPR — штрафы дела не спасают? |
Общий регламент по защите персональных данных (GDPR) действует уже более двух лет. Это достаточное время для того, чтобы начать делать определенные выводы относительно его эффективности, и вот какой любопытный феномен выделяет в связи с этим издание Compliance Week. Несмотря на огромный размер обещанных штрафов за несоблюдение требований по обеспечению сохранности персональных данных (до 20 млн евро, или до 4% от годового оборота — суммы в самом деле, немалые), компании больше следят за фактическим потенциалом национальных регуляторов в плане сбора штрафов, а не, собственно, за обеспечением комплайенса.
За прошедшее время в очень небольшом числе случаев успели наложить по-настоящему большие штрафы, и эксперты говорят, что максимально установленные планки даже вряд ли в скором времени будут использованы. Исключения, конечно, есть — речь идет о технологических гигантах вроде Google или Facebook, которых власти вполне способны «приложить» по-максимуму, не опасаясь, что это серьезно пошатнет их финансовое здоровье. Только вот шансы на то, что это повлияет как отрезвляющий душ на более мелких участников рынка, даже если они будут лично это наблюдать, в действительности небольшие, ведь они тоже видят разницу.
Расположенный в Ирландии Офис Уполномоченного по защите данных — это независимый национальный орган, отвечающий за соблюдение права европейских граждан на сохранение конфиденциальности их персональных данных, и эта организация не так давно поделилась дельной мыслью на этот счет. Оказывается, вместо того чтобы выписывать зубодробительные штрафы, стоит пойти немного иным путем и воспользоваться чем-то другим из арсенала так называемых «корректирующих мероприятий», чтобы организации более активно начали следовать требованиям GDPR. К таким мерам можно отнести публикацию руководств и официальных мнений, проведение добровольных или обязательных аудиторских проверок, специальные предписания о выполнении требований владельцев данных, прямые предписания по корректировке, удалению данных или ограничению на их обработку.
Ограничения вообще считаются одной из самых действенных мер, которые надзорные органы имеют в своем распоряжении. На крупные технологические организации очень действует способность властей накладывать временные или постоянные ограничения, блокируя, например, отток данных в пользу какой-то международной организации или страны, где законодательно не прописано следование общему регламенту о защите персональных данных. Такие меры воздействия могут оказаться сильнее любого штрафа.
И они уже применяются — правда, довольно ограниченно. Согласно июньскому докладу Еврокомиссии 13 европейских органов надзора накладывали за это время ограничения на обработку данных, а 17 — выпускали постановления о корректировке, удалении или ограничении на обработку данных. В большинстве же случаев национальные регуляторы предпочитают браться за «кнут», в смысле штрафы.
<...>
Войдите в систему или зарегистрируйтесь