GDPR: особенности правового регулирования

Мы можем наблюдать за тем, насколько широко распространяется Общий регламент о защите данных (GDPR), который вступил в силу 24 мая 2018 года и стал применяться со следующего после принятия дня. GDPR отменил и заменил прежнюю Директиву по защите данных 1995 года. Данный Регламент подлежит немедленному применению в ЕС и в его девяносто девяти статьях можно найти многие права и обязанности, в том числе некоторые новые для всех граждан ЕС: право согласия; право доступа, исправления и перемещения данных; право на забвение; право на доступную информацию; запрет на принятие решений, основанный исключительно на автоматической обработке и т.д. Реформа также носит процедурный характер, поскольку она усиливает полномочия публичных властей по защите прав и частные правоприменительные полномочия граждан ЕС.

В то время как GDPR должен преобразовать Европейский Союз в ведущий мировой регулятор конфиденциальности, с точки зрения правоприменителя, это новое смелое достижение не было лишено некоторых неудач. Под неудачами мы имеем в виду проблемы в реализации GDPR, которые не способствовали увеличению прав граждан. В этой публикации кратко рассматриваются наиболее очевидные из них.

Во-первых, трудно игнорировать предполагаемые недостатки GDPR как нормативного акта. Законодательство ЕС не только обеспечивает прогресс в области защиты данных. Например, GDPR может привести к ослаблению права на забвение. Это право было введено основополагающим постановлением Европейского Суда в деле Google Испания (C-131/12, принято 13 мая 2014 года). Это привело к тому, что Google и другие значительно изменили способ передачи личных данных в Интернете. Несмотря на то, что предложение GDPR-2012 года уже включало право на забвение, смелый шаг от Европейской комиссии в то время, текст, окончательно принятый Советом и Европейским парламентом, представляет собой частичное отступление как от первоначального предложения, ослабляя право граждан ЕС на забвение. Конкретно, GDPR не определяет понимания права на забвение и его статья 17 не имеет ясности, содержит значительные исключения и опускает ключевые элементы, такие как роль поисковых систем.

Кроме того, сохраняется большая неопределенность в отношении значения и объема некоторых положений. Эта неопределенность не является непреднамеренной, как некоторые скажут, что это нормальные последствия политического компромисса в законодательном тексте общего применения. Однако неопределенность порождает множество проблем.

Вызовом для частных лиц является обретение понимания их обязательств и того, как их соблюдать. Вызовом для правоприменительных органов и юристов является информирование общественности о последствиях Регламента. В результате тот факт, что защита данных в настоящее время регулируется непосредственно применимым Регламентом ЕС, не помешал существенному расхождению в толковании нового закона. Еще более важно то, что это расхождение и плохое понимание закона, по-видимому, привели к тому, что многие компании недооценивали свои новые обязательства. Эта неопределенность явно наносит ущерб новой системе защиты данных.

Во-вторых, непреднамеренные последствия часто вытекают из этого отсутствия ясности. Массовый спам, предшествовавший дате вступления в силу GDPR, является одним из самых известных парадоксальных последствий GDPR. Анализ спама показывает, что процессоры данных часто не предоставляют четкой информации о получателях данных, обработанных данных и причинах обработки данных. Право на положительное согласие также часто игнорируется. Кроме того, обработчики данных не всегда обеспечивают право на удаление данных, несмотря на их обязательство по Статье 12 (2) и 17 GDPR.

Предоставленные возможности часто остаются простой «отпиской», которая в основном недостаточна для гарантии эффективного удаления персональных данных. Кроме того, несмотря на большие экстерриториальные масштабы GDPR, обработчики данных третьих стран могут продолжать игнорировать защиту данных граждан ЕС. И наоборот, еще одним непредвиденным последствием GDPR является прекращение предоставления некоторых услуг, особенно от поставщиков, созданных в третьих странах. В то время как GDPR показывает, насколько ценны данные для экономики, он также очень неудобен для частных компаний.

Несколько компаний, часто малых и средних, в значительной степени полагаясь на недостаточную информацию, решили прекратить услуги или полностью закрыться в результате GDPR. Иногда это происходит из-за ошибочного понимания обязательств обработчиков данных. Особенно это подтверждается неожиданным решением некоторых американских СМИ, начиная от Los Angeles Times до Sentinel Orlando, о блокировке доступа европейских пользователей к своим веб-сайтам в результате реализации GDPR.

В то время как GDPR явно представляет собой скачок вперед для прав граждан ЕС и представляет собой замечательный пример того, чего Европейский союз может достичь для своих граждан, реализация GDPR показала важные сбои в защите данных граждан ЕС. Эти неудачи в первую очередь связаны с отсутствием ясности нового законодательства. Данные свидетельствуют о том, что шесть лет, потребовавшихся ЕС для принятия GDPR, представляли собой упущенную возможность лучше информировать компании о влиянии GDPR. Для гарантии правильного применения современных стандартов защиты данных потребуется много разъяснений и создание системы контроля. Таким образом, GDPR создает ловушку, обусловленную законодательством ЕС: отсутствие эффективности, согласованности и понимания прав и обязанностей, которые созданы. Следует надеяться, что Европейский союз извлечет опыт из ошибок и попытается использовать его при принятии, а также внедрении будущего E-Privacy regulation. В противном случае закон будет продолжать расширять права чиновников, а не частных лиц.