Как применялся GDPR в последние два года?

Несколько дней назад Accessnow опубликовал доклад по случаю двухлетия действия главной директивы по обработке персональных данных GDPR, в котором исследователи информационной безопасности разобрали его правоприменение, действенность и барьеры в реализации. Рекомендуем нашим читателям ознакомиться с оригинальной версией отчета.

Два года назад вступило в силу общее положение ЕС о защите данных. В первый год его действия GDPR привёл к повышению осведомленности о правах защиты данных среди населения стран-членов Европейского Союза. За последние 12 месяцев закон столкнулся с административными и политическими кризисами. Ему пришлось адаптироваться к кризису общественного здравоохранения. Органы по защите данных (DPA) изо всех сил старались не только работать вместе, но и пытаться сдержать нарушения в области ПДН во время карантина и массовой удаленной работы.

Вспышка COVID-19 стала испытанием способности закона обеспечивать защиту прав человека в период кризиса. Всего за период с мая 2018 по март 2020 DPA наложили 231 штраф по GDPR. Динамику по штрафам и их объему вы можете увидеть на следующем графике:

Несмотря на то, что объем штрафов впечатляет, общее количество все ещё остается низким по сравнению с 144 376 жалобами, которые граждане ЕС подали к маю 2019 года. Наибольшее число штрафов было наложено в Испании (81), за ним следует Румыния (26) и Германия (25). Однако следует отметить, что в то время как большинство стран имеют только один DPA, благодаря немецкой федеральной системе, страна имеет 17 отдельных DPA, что приводит к выводу о сравнительно невысоком числе штрафов за нарушения в области обработки персональных данных.

Когда же речь заходит о размере штрафов, то Великобритания выделяется как лидер, наложивший самый большой общий штраф на сегодняшний день. Общая сумма взыскания превышает 315 миллионов евро. Однако два самых больших штрафа, наложенных против British Airways (€204 млн) и Marriott Internatiinal (€110 млн.) уже были отложены дважды. На втором месте расположилась Франция с объемом взысканий по GDPR на 53 миллиона евро.

Примечательным является тот факт, что Ирландия и Люксембург, которые являются основными странами, занимающимися рассмотрением дел, связанных с Instagram, Facebook, WhatsApp, Twitter, PayPal, Microsoft, Google и других компаний, на сегодняшний день не выписали штрафов этим технологическим компаниям. В то же время за 2018 и 2019 гоода ирландские власти получили в общей сложности 11 328 жалоб на них.

При этом в отчете также приводится топ-10 штрафов по объему взысканий:

1. British Airways – 204,600,000 €
2. Marriott International – 110,390,200 €
3. Google Inc. – 50,000,000 €
4. TIM – 27,800,000 €
5. Austrian Post – 18,000,000 €
6. Deutsche Wohnen SE – 14,500,000 €
7. 1&1 Telecom GmbH – 9,550,000 €
8. Eni Gas e Luce – 8,500,000 €
9. Google LLC – 7,000,000 €
10. Eni Gas e Luce – 3,000,000 €

GDPR во время COVID-19 

С момента вспышки коронавируса в Китае в конце 2019 года мир борется с распространением COVID-19. В ответ на то, что Всемирная организация здравоохранения (ВОЗ) назвала пандемией, правительства по всему миру используют данные для составления карт распространения вируса. Поспешные ответы и принятие часто непродуманных решений в области ПДН и удалённой работы подчёркивает необходимость защиты основных прав, включая отказ от права на защиту данных, направленных на решение кризиса общественного здравоохранения.

Медицинская информация является частной и конфиденциальной по своей природе и раскрывает интимные подробности жизни человека. Использование, сбор и любая другая обработка этой информации должны быть защищены, в идеале, с помощью всеобъемлющего закона о защите данных, такого как GDPR.

Тем не менее, во время кризиса общественного здравоохранения вопрос заключается не в том, могут ли правительства использовать медицинские данные для того, чтобы помочь в борьбе с кризисом, но как это можно сделать, сохраняя при этом индивидуальную частную жизнь и безопасность в максимально возможной степени? Однако в период пандемии утечки персональных данных со стороны гос. органов и мед. учреждений в виде информации о пациентах, их лечении и/или летальности происходят практически в ежедневном формате. В связи с чем чрезвычайно важно, чтобы кризис здравоохранения не перерос в кризис прав человека.

Рекомендации

По итогам своего доклада Accessnow предоставляет следующие рекомендации для Правительства:

1. Увеличить ресурсы (бюджетирование) для DPA (регуляторов в области защиты ПДН);
2. Обеспечить независимость DPA от лоббизма;
3. Обеспечить соблюдение прав человека (даже в кризис);
4. Соблюдение GDPR даже во время пандемии SARS-COV-2. (Правительства должны обеспечить применение GDPR и права на защиту данных в своей борьбе сCOVID-19, особенно в тех областях, которые касаются сбора и использования медицинских данных, использование трекинга и геолокации, а также заключение государственно-частное партнерство в целях развития и внедрения приложений для отслеживания контактов;
5. Соблюдение законодательство по защите данных и ИБ Великобританией после Брекзит.