Два роки дії GDPR: підсумки
Загальний регламент про захист даних, більш відомий як GDPR, є частиною законодавства ЄС, чия основна мета – це захист користувачів та їхніх даних. GDPR є базовим нормативним актом у своїй сфері і має екстериторіальну дію, яка не обмежується кордонами ЄС. Зокрема GDPR поширює свою дію на компанії інших країн, які не є членами ЄС, охоплюючи таким чином значний сектор світової економіки.
GDPR набув чинності 25 травня 2018 року, відтак за ці два роки дії GDPR дав свої результати, за якими можна оцінити його ефективність.
Наслідки впровадження GDPR
Прийняття GDPR було зумовлене трьома основними цілями:
- Захистом прав користувачів щодо їх персональних даних;
- Забезпеченням стабільності законів, які регулюють конфіденційність даних, в умовах стрімкого розвитку технологій; та
- Створенням єдиного та послідовного законодавства ЄС у сфері захисту персональних даних.
Загалом, застосування норм GDPR сприяє досягненню цих цілей, і позитивний вплив GDPR значно переважає над негативними аспектами, із якими довелося зіткнутися під час його імплементації.
GDPR забезпечує ефективний захист персональних даних, передбачаючи низку вимог до осіб, що збирають чи обробляють персональні дані. Наприклад, GDPR передбачає, що кожна організація повинна мати особу, відповідальну за захист даних, а також проводити періодичний аудит щодо комплаєнсу із вимогами GDPR. Таке регулювання дало свої результати. Так, наприклад, згідно із опитуванням 62% користувачів у Великій Британії стали більш впевненими у захисті своїх даних після введення GDPR.
Крім того, GDPR здійснює позитивний вплив і на компанії, що збирають чи обробляють персональні дані. Однією із основних вимог GDPR є постійна модернізація компаній, впровадження ними сучасних технологій, що позитивно впливає на якість послуг, конкурентоздатність європейських компаній на ринку. Крім того, постійне оновлення технічної бази знижує витрати на зберігання даних та дозволяє компаніям оптимізувати свою діяльність.
Однак, на початковому етапі запровадження GDPR компанії, які займалися збором та обробкою персональних даних, зіткнулися зі значними труднощами.
Труднощі імплементації GDPR
Незручності, спричинені впровадженням GDPR, відчули на собі компанії, які у короткий термін мали привести свою діяльність у відповідність до нових правил. На це знадобився час і гроші: за дослідженням International Association of Privacy Professionals, у середньому компанії витрачали 1,3 мільйона доларів.
Навіть іноземним компаніям, які мали лише кількох клієнтів із країн ЄС (або навіть одного клієнта), довелося витратити багато ресурсів для того, щоб відповідати новим вимогам. Значна кількість іноземних компаній вирішила піти з європейського ринку та близько тисячі іноземних новинних ресурсів (наприклад, Los Angeles Times, New York Daily News, Orlando Sentinel) заблокували доступ на свої ресурси європейським користувачам.
Крім того, на думку представників бізнесу, для багатьох вимог GDPR притаманний надмірний бюрократизм. Наприклад, іноземні особи, діяльність яких підпадає під дію вимог GDPR, мають у письмовому вигляді призначити свого представника у ЄС щодо комплаєнсу із GDPR.
Накладення штрафів за порушення GDPR
Першим історичним штрафом, який показав усю серйозність наслідків порушення GDPR, стало притягнення до відповідальності компанії "Google". Справа полягала у тому, що "Google" обробляв дані користувачів для забезпечення таргетованої реклами без отримання попередньої згоди користувачів на такі дії. За це порушення компанія сплатила штраф у розмірі 50 мільйонів євро.
Окрім цього, сьогодні триває справа авіакомпанії "British Airways", якій загрожує штраф у розмірі майже 184 мільйонів фунтів стерлінгів. У цій справі можливе порушення вимог GDPR полягає у тому, що авіакомпанія не забезпечила належні заходи безпеки на своєму вебсайті. Унаслідок цього клієнти перенаправлялись на інший вебсайт, де шахраї збирали їх персональні дані (платіжну інформацію, імена та адреси, дані про вхід).
Також на розгляді у наглядового органу Німеччини, відповідального за імплементацію GDPR, перебуває справа міжнародної роздрібної компанії "H&M". Компанія звинувачується у тому, що збирала конфіденційну інформацію про своїх працівників, таку як стан здоров'я і навіть детальну інформацію про їх приватне життя. Оскільки, відповідно до GDPR, максимальний штраф, який може бути накладений у зв'язку з порушенням, становить 4% від щорічного обороту компанії, "H&M" загрожує штраф у розмірі до 880 мільйонів євро (оборот компанії, за оцінками, сягає 22 мільярди євро). У разі накладення штрафу, це буде найбільший розмір штрафу за 2 роки застосування GDPR.
За детальною інформацією звертайтесь до наших експертів:
Керуючий партнер
deyneko@everlegal.ua
Партнер
olenyuk@everlegal.ua