Некоторые аспекты GDPR “несостоятельны” и нуждаются в пересмотре

В продолжение мартовской новости о трудностях с гармонизацией требований GDPR в Европе. Единый механизм определения конкретного агентства по защите данных, которое в каждом конкретном случае возглавляет расследование и определяет меры в ответ на допущенные компаниями компрометации персональных данных, работает очень медленно и явно не отвечает представлениям о долгосрочной устойчивости. Такую точку зрения высказала Хелен Диксон (Helen Dixon), возглавляющая Комиссию по защите данных Ирландской республики – пишет Compliance Week.

Мнение было озвучено в этот понедельник в ходе панельных дискуссий на мероприятии, организованном Международной ассоциацией профессионалов в области сохранности данных. Одной из причин, почему предусмотренный Общим регламентом по защите персональных данных механизм оказался на практике таким долгим и неповоротливым, является то, что в разных странах ЕС свои общепринятые представления о том, что именно считается нарушением GDPR, а что нет. Об этом же речь шла в мартовской новости. А раз представления о нарушениях расходятся, различаются и мнения относительно наказаний.

Предположим, в отдельно взятой стране агентство по защите персональных данных (в Великобритании, например, это Управление уполномоченного по вопросам информации, но в каждой стране может быть свое название, главное чтобы функционал был схожим) анализирует конкретный случай и приходит к определенному решению. Это решение, ввиду подразумеваемых механизмом регулирования GDPR “единства и общности”, еще нужно отстоять перед 26 органами регулирования безопасности персональных данных из других стран ЕС. Об этом идет речь в Статье 60. В первоначальное решение по итогу вносятся какие-то коррективы, и в измененном виде оно, согласно Статье 65, далее еще должно получить окончательное одобрение Европейского Совета по защите персональных данных (European Data Protection Board - EDPB), главной организации этого плана в ЕС.

Конечно, это занимает очень много времени и отнимает очень много ресурсов. Хелен Диксон считает столь сложный подход просто несостоятельным в долгосрочной перспективе, присоединяя свой голос к уже, наверное, целому сонму голосов критиков, отчетливо звучащему все годы с момента вступления GDPR в силу в 2018 году.

По ее собственному признанию, лично ирландская Комиссия по защите данных буквально тонет под наплывом обращений со стороны аналогичных организаций из других стран ЕС, которым нужна помощь в рассмотрении случаев возможного нарушения Регламента. Это очень сильно тормозит работу и сказывается на эффективности. В настоящее время, например, у них 28 активных разбирательств в отношении крупных технологических компаний, из которых более половины - 15 штук - касаются одной только Facebook и связанных с ней компаний. О крупной утечке данных пользователей FB, напомним, стало известно буквально в начале этого месяца.