Штрафы за нарушение закона ЕС о конфиденциальности выросли в семь раз

Согласно данным нового исследования, штрафы за нарушение важнейшего закона Европейского Союза о конфиденциальности за последний год выросли почти в семь раз до 1,2 млрд долларов.

Органы ЕС по защите данных наложили штрафы на общую сумму 1,25 млрд долларов за нарушение Общего регламента ЕС по защите данных с 28 января 2021 года, говорится в отчете юридической фирмы DLA Piper, опубликованном во вторник. Это больше, чем всего 180 млн долларов годом ранее.

Уведомления регулирующих органов от компаний об утечке данных выросли более скромно, на 8% до 356 в среднем в день.

GDPR действует с 2018 года. Радикальные изменения правил ЕС в отношении данных направлены на то, чтобы дать потребителям в Европе больше контроля над своей информацией.

Компании обязаны продемонстрировать четкую правовую основу для сбора и обработки персональных данных пользователей. Операторы личных данных должны уведомлять власти о любой утечке в течение 72 часов после того, как об этом стало известно.

Несоблюдение требований может привести к потенциально крупным штрафам, а именно, до 4% годового глобального дохода компании или 20 млн евро (22,8 млн долларов США), в зависимости от того, что из этого окажется больше.

«GDPR, безусловно, эффективно заставил всех сесть и прислушаться к закону о защите данных и обеспечению соблюдения требований к защите данных», — заявил CNBC Росс МакКин, председатель британской группы защиты данных и безопасности DLA Piper.

«Теперь у вас есть штрафы, которые приближаются к миллиарду евро», - подчеркнул он.

Рекордные штрафы

В прошлом году регулирующие органы ЕС наложили рекордные штрафы в соответствии с GDPR, причем основная тяжесть штрафов пришлась на крупные технологические компании.

Служба защиты конфиденциальности Люксембурга оштрафовала Amazon на 746 млн евро (850 млн долларов), а власти Ирландии наложили на WhatsApp, принадлежащий Meta, штраф в размере 225 млн евро. Обе компании находятся в процессе обжалования соответствующих штрафов.

По словам МакКина, регулирующим органам часто «требуется некоторое время», чтобы наложить большие штрафы после того, как они будут введены в новое законодательство. «Это потому, что расследование занимает некоторое время. И в законе по-прежнему полно открытых юридических вопросов», - пояснил он.

Среди этих открытых вопросов — проблема трансграничной передачи данных между ЕС и США.

В 2020 году Европейский суд вынес знаковое решение, признавшее недействительным использование системы Privacy Shield, правовой основы для передачи данных через Атлантику. Решение было названо «Шремс II» в честь австрийского борца за конфиденциальность Макса Шремса, который изначально инициировал дело.

В то время как Privacy Shield был признан недействительным, Европейский суд сохранил действие стандартных договорных положений, что является еще одним механизмом обеспечения взаимодействия между ЕС и США.

Основное утверждение постановления заключается в том, что режим защиты данных в США не эквивалентен режиму ЕС.

Правовая неопределенность

МакКин говорит, что главной «головной болью» для организаций в будущем является правовая неопределенность в отношениях между ЕС и США в вопросе передачи данных.

Стандартные договорные положения (SCC), безусловно, самый популярный метод законной обработки таких переводов, касаются «жизнеобеспечения», сказал Маккин, поскольку официальные лица в ЕС и США обсуждают планы нового соглашения о данных, которое заменит Privacy Shield.

Meta - материнская компания Facebook - оказалась вовлечена в напряженный спор с ирландской комиссией по защите данных по этому поводу. DPC приказал Meta прекратить использовать SCC для отправки информации о пользователях из Европы в США, поскольку идет расследование практики передачи данных компании.

Meta добилась временного замораживания приказа, но Верховный суд Ирландии отклонил его, что позволило надзорному органу продолжить расследование.

Недавно австрийский надзорный орган по защите данных заявил, что использование Google Analytics нарушает GDPR, поскольку этот инструмент потенциально раскрывает данные пользователей для спецслужб США. Решение нацелено на собственника веб-сайта, использующего службу веб-аналитики Google, а не на сам Google.

Подобно Meta и другим крупным технологическим компаниям США, Google полагается на SCC для обработки данных между ЕС и США. В то время Google заявил, что компании, использующие Google Analytics, «контролируют, какие данные собираются с помощью этих инструментов и как они используются», и что компания предоставляет «ряд мер безопасности, контроля и ресурсов для соблюдения».

«Каждая организация — за некоторыми исключениями — имеет международную цепочку поставок и международную передачу данных», — сказал Маккин, добавив, что постановление Шремса II оказало «глубокое» влияние на предприятия всех форм и размеров.

Помимо возросшей правовой неопределенности, Маккин ожидает, что в 2022 году появятся новые апелляции на штрафы GDPR.