Европейский регламент по защите данных был нарушен около 60 тысяч раз

Юридическая компания DLA Piper выпустила отчёт о нарушениях GDPR (Общего регламента по защите данных) в Европейском союзе.

В новом отчёте DLA Piper приведены статистические данные о количестве нарушений в области регулирования персональных данных, о которых было сообщено регулирующим органам, о первых штрафах, наложенным в соответствии с правилами GDPR, в период с 25.05.2018 (день вступления в силу Регламента) по 28.01.2019 года (Международный день защиты данных). Общее количество зарегистрированных нарушений по части персональных данных составляет 59 000, а наложенных штрафов — 91. 

В ЕС насчитали 59000 нарушений GDPRhttps://t.co/OJ9ybepAyP

— The Bell Tech (@TheBellTech) February 9, 2019

Эти данные отражают ситуацию в 26 странах Европейского экономического пространства (European Economic Area, EEA), которыми были предоставлены данные о нарушениях. Однако 5 стран не опубликовали статистику уведомлений о нарушениях, а некоторые из тех, кто предоставил данные, сделали это только за часть рассматриваемого в отчете периода. Поэтому можно предположить, что представленные результаты могут быть несколько искажены. Страны, данные которых отсутствуют, это Словакия, Болгария, Хорватия, Эстония и Литва.

Согласно отчету, в тройку стран с наибольшим количеством зарегистрированных нарушений входят Нидерланды (примерно 15 400), Германия (12 600) и Великобритания (10 600). Наоборот, страны с наименьшим количеством зарегистрированных нарушений — это Лихтенштейн (15), Исландия (25) и Кипр (35).

Интересно будет увидеть, сколько из зарегистрированных нарушений закончатся наложением штрафов. В отчете говорится, что не все документально подтвержденные штрафы относятся к нарушению персональных данных. Так обстоит дело с самым высоким на сегодняшний день штрафом — 50 миллионов евро, наложенным на Google Национальной комиссией по защите данных Франции (CNIL) за обработку персональных данных в рекламных целях без действительного согласия [пользователей].

Гораздо менее значительно выглядят некоторые другие штрафы, упомянутые в отчете. Например, один из первых штрафов GDPR был наложен в Австрии в размере 4 800 евро за неправильно маркированную камеру видеонаблюдения. Кипр сообщил о 4 штрафах (из 35 уведомлений о нарушениях) на общую сумму 11 500 евро. Цифры на Мальте интересны — сообщается о 17 штрафах, которые можно считать высоким результатом для населения страны с менее чем полумиллиона жителей.

Сэм Миллар (Sam Millar), партнер DLA Piper, специализирующийся на крупномасштабных киберрасследованиях, прокомментировал отчет:

«Регуляторы уже начали напрягать мускулы с 91 штрафом GDPR, наложенным на сегодняшний день, но штраф в отношении Google является знаковым моментом и примечателен отчасти потому, что он не связан с утечкой личных данных. Мы ожидаем, что регулирующие органы будут более жестко относиться к нарушению данных, налагая более высокие штрафы с учётом более острого риска причинения вреда отдельным лицам. Можно ожидать, что в течение следующего года последуют дополнительные штрафы, поскольку регулирующие органы устранят отставание в уведомлениях».

Ближе к финалу отчет поднимает еще один интересный вопрос. В нем упоминаются комментарии некоторых юридических представителей в Германии, утверждающих, что применение принципов законодательства ЕС о конкуренции для расчета штрафов по GDPR может привести к нарушению принципов законности и соразмерности уголовных преступлений и наказаний в соответствии с Хартией Европейского союза по правам человека. Разумное решение этой проблемы — местные процедурные правила, а не стандартизированные. Это приведет к уменьшению штрафов. Но возможен ли такой маневр на самом деле — мы скоро узнаем.

«Что мы можем сделать сейчас, так это подумать обо всех цифрах, упомянутых в этой статье? — задаются вопросом европейские цифровые правозащитники. — Они обязательно должны быть проанализированы с учетом контекста, в котором они находятся. Говорит ли большое количество зарегистрированных нарушений о высоком уровне предрасположенности к незаконным действиям или это признак бдительного общества — это вопрос качества, а не количества в данном анализе».

«Со временем исследователи приложат все усилия для понимания этого вопроса, но до тех пор было бы хорошо запомнить для себя самих, что правила GDPR — они для защиты наших прав на конфиденциальность данных, и мы должны использовать их для нашего личного благополучия и благополучия наших клиентов», — резюмируют они.