Европейская гармонизация требований GDPR столкнулась с трудностями

Когда чуть меньше трех лет назад вступил в силу Общий регламент по защите персональных данных (General Data Protection Regulation - GDPR), все думали, что у 28 (на тот момент, теперь 27) стран-членов ЕС не будет трудностей с унифицированным внедрением новых требований. Но история показала, что в реальности все не совсем так, и равномерного внедрения пока не наблюдается.

Дело даже не в расхождениях во взглядах национальных регуляторов касательно того, с какой строгостью следует карать нарушителей - они, в самом деле, имеются, но это еще полбеды. Однако выяснилось, что действующие до сих пор требования национального законодательства европейских государств в отдельных случаях имеют более высокий приоритет и иногда даже отменяют собой по факту положения GDPR.

В качестве недавнего примера Compliance Week приводит многомилионный (€14.5 млн.) штраф против немецкой компании Deutsche Wohnen, который та должна была бы заплатить за нарушение GDPR. Только вот его отменили, когда Районный суд Берлина выяснил, что по немецким законам компанию нельзя привлечь к ответственности. Разве что удалось бы переложить вину на конкретного исполнителя в организации, но такого требования нет даже в самих требованиях GDPR, где оговаривается ответственность на организационном уровне. Это то самое противоречие в самом регламенте по защите персональных данных, которое и порождает все случаи, подобные описанному в этом абзаце.

• Роскомнадзор хочет, чтобы российский закон о персональных данных применялся за рубежом (24/03/2021)

Несмотря на то, что случай с Deutsche Wohnen кому-то может представляться единичным, это на самом деле не так, и некоторых экспертов изрядно беспокоит, что суды в других европейских странах также придерживаются аналогичной линии поведения. Не далее как в прошлом году Федеральный административный суд Австрии, например, аннулировал принятое решение наложить 18-миллионный штраф на государственную почтовую службу Austrian Post.

А во Франции в декабре прошлого года национальный орган надзора за сохранностью персональных данных (CNIL) вообще отказался ориентироваться на GDPR и покарал Google и Amazon в соответствии со своими собственными требованиями законодательства за использование файлов cookie. Многие эксперты тогда отметили, что французские власти, судя по всему, заранее решили ориентироваться на собственное национальное законодательство, потому что оно позволяет привлекать виновных к ответственности намного быстрее, чем это возможно с GDPR.

Эксперты допускают, что еще немало европейских стран столкнутся с ситуацией противоречия нового регламента по защите персональных данных действовавшим у них до сих пор законам и вынесут решение в пользу большего приоритета именно последних. Подозрения лишь усиливаются тем фактом, что далеко не все европейские органы надзора публикуют свои решения по штрафам за нарушения в этой области, что дает основания допускать даже более широкое распространение проблемы.

“Только время покажет, можно ли скоординировать данный вопрос во всей Европе, и результат этого будет иметь огромную важность для дальнейшей контрольной деятельности вокруг GDPR”, - сказал Ларс Ленсдорф (Lars Lensdorf), партнер юридической компании Covington & Burling, который предположил, что противоречия в Общем регламенте по защите персональных данных, следствием которых стали такие проявления, будут, в конечном счете, решаться на уровне Суда Европейского союза (Court of Justice of the EU).