С тех пор как Регламент ЕС о защите персональных данных (GDPR) вступил в силу 25 мая 2018 года, европейские органы по защите данных (DPAs) проводили проверки, вносили предупреждения и накладывали штрафы, включая штрафы в размере десятков миллионы евро на компании, которые не знают как защитить персональные данные клиентов.
Тем не менее, некоторые контролирующие органы утверждают, что до сих пор они были сосредоточены на реализации, повышении осведомленности заинтересованных сторон и работе с организациями по соблюдению GDPR. Другими словами, DPA еще не полностью развернули свои правоприменительные возможности.
Некоторые DPA приняли инструменты для облегчения правоприменительной деятельности: немецкие (PDF) и голландские (PDF) DPA опубликовали свою модель штрафов, а Европейский совет по защите данных (EDPB) работает над гармонизированным штрафом и разрабатывает методические рекомендации по тому, как соблюдать правила защиты информации. Другие уже заявили, что намерены активизировать свои вмешательства, в том числе британский DPA, который дал понять, что будет использовать новые полномочия, разведку и ресурсы для принятия решительных мер против организаций, не соответствующих требованиям и тем, кто не предоставляет защиту информации и персональных данных.
Защита персональных данных в европейских странах
Европейская комиссия утверждает, что GDPR заставляет граждан ЕС все больше осознавать правила защиты данных и свои права. Также важным аспектом есть осведомленность общественность относительно того, как защитить свои персональные данные от утечки.
Получая все больше и больше жалоб, DPA будут приходить к такому же выводу: в DPA Великобритании поступило 41 661 жалоб на защиту данных (PDF) (рост на 50%) в 2018-19, в то время как в 2018 году французское DPA получило 11 077 жалоб (рост на 32,5%).
Эта повышенная осведомленность привела не только к большему количеству вмешательств ответственных органов, но также и к росту числа гражданских разбирательств, которые, вероятно, еще больше возрастут.
В рамках GDPR субъекты данных имеют ряд способов поиска возмещения. Они могут обратиться в DPA и в суд параллельно, а также могут обратиться в суд после подачи жалобы в DPA.
Кроме того, субъекты данных могут действовать индивидуально или присоединяясь к групповому судебному разбирательству, последнее стимулируется возникающими группами потребителей конфиденциальности. Например, в Австрии, в дополнение к индивидуальным искам, иск готовится известной организацией, которая специализируется на таких разбирательствах. Однако эта тенденция гражданских исков, связанных с GDPR, проявляется во всем ЕС. Таким образом, во многих государствах-членах, таких как Франция или Великобритания, организации сталкиваются как с административными штрафами, так и с гражданскими исками.
Эти риски могут стать еще более значительными, когда ЕС примет свой проект директивы о представительных действиях по защите коллективных интересов потребителей.
Реклама в Интернете и защита персональных данных в Европе
Вопросы, связанные с рекламой, будут и впредь предметом руководящих принципов, жалоб и судебных решений. Защита информации в Интернете - еще одни важный обсуждающийся вопрос в Европейском Союзе. Многие DPA уже приняли руководство, касающееся файлов cookie или других трекеров, например, в Германии, где многие DPA опубликовали заявления, касающиеся Google Analytics и других трекеров, после решения Суда ЕС о хранении файлов cookie.
У Франции есть план действий, связанный с таргетированной онлайн-рекламой на 2019-20 годы. А французский DPA собирается опубликовать рекомендацию, касающуюся операционных аспектов сбора согласия, в соответствии с его рекомендациями по файлам cookie, выпущенным в июле 2019 года. Голландский DPA уже объявил, что будет расследовать, используются ли файлы cookie законно.
В Великобритании и Франции группы потребителей начали массовый судебный процесс против Google и его целевых рекламных практик.
Органы по защите данных для определения приоритетов защиты данных детей
Твердо включенные в повестку дня нескольких ДПД, данные о детях, безусловно, стали важной темой в 2020 году. Британский DPA прямо указал в своем отчете GDPR: “…. конфиденциальность детей является одним из приоритетов в области регулирования на 2020 год”, и опубликовал свой кодекс практики для дизайна, соответствующего возрасту. Аналогичным образом, DPA Ирландии, которая провела общественные консультации по обработке данных о детях и правах детей, вероятно, выступит с определенной позицией после своего предварительного доклада о Потоке I (взгляды заинтересованных сторон). Как защитить детей в Интернете - вопрос, который становится ключевой целью и о чем говорится в консультации по нормативной стратегии на 2020–2025 годы (PDF) в Ирландии.
Права субъекта данных подлежат дальнейшему укреплению
И ЕС, и государства-члены стремятся к дальнейшему укреплению прав отдельных лиц, а защита данных и обеспечение безопасности неизменно развивается.
Например, Европейский совет по защите данных:
- провел семинар для заинтересованных сторон в ноябре 2019 года, чтобы собрать отзывы о своем проекте руководящих принципов, касающихся прав субъектов данных, касающихся доступа, исправления, удаления, ограничения обработки и возражений;
- опубликовал руководство по критериям права быть забытым для общественного обсуждения.
Между тем, DPA Великобритании начало общественную консультацию по своему проекту руководства (PDF) о правах доступа к субъектам данных, а Бельгийский DPA сделал права субъектов данных приоритетными для своего стратегического плана на 2019-2025 годы (PDF). Для получения дополнительной информации по вопросам GDPR, обращайтесь к квалифицированным юристам IQ Decision UK. Заполните форму обратной связи для того, чтобы заказать консультацию о защите персональных данных в ЕС.
