“Разочарование” GDPR вынуждает национальных регуляторов вводить собственные правила для персональных данных

Compliance Week вновь поднимает тему проблемной эффективности Общего регламента по защите персональных данных (GDPR), отмечая, что пока он не смог решить проблему злоупотребления в использовании персональных данных крупными технологическими компаниями. Видят это и европейские регуляторы, которые проводят собственные расследования подобных случаев, руководствуясь при этом отнюдь не GDPR, а собственными правилами.

• См. также по этой теме: Ирландия “встряхнула” GDPR огромным штрафом против WhatsApp (07/09/2021)

Штрафы, подобные этому, случаются, но это не мешает крупнейшим социомедийным и интернет-компаниям с легкостью избегать комплайенса из-за очень громоздкого и неповоротливого механизма контроля, оговоренного в Общем регламенте по защите персональных данных. Кроме того, важно понимать, что основной акцент GDRP - на защите приватности персональных данных при почти полном игнорировании других аспектов, например, нечестной конкуренции. А уж в этом техногиганты давно наловчились обходить требования законодательства, имея почти неограниченный доступ к данным своих пользователей.

• См. ФАС открывает дело против Apple (27/10/2021)

Несмотря на то, что GDPR вступил в силу лишь в мае 2018 года, и прошло объективно не так много времени, эти три года принесли по большей части разочарование эффективностью его работы. Ульрих Келбер (Ulrich Kelber), немецкий федеральный комиссар по защите данных и свободе информации, отметил, что GDPR “не полностью эффективен” против недобросовестной практики крупных технологических компаний, поскольку фокусируется лишь на одной области - приватности данных. По его словам, агентствам по защите данных нужно наладить межведомственное взаимодействие с другими регуляторами - например, антимонопольщиками - поскольку то, что иногда делают с данными пользователей, значительно выбивается за пределы “списка”.

С ним согласна Джованна Конбой (Jowanna Conboye), технологический партнер международной юридической фирмы Spencer West. Она отметила, что проблемы с техногигантами и тем, как они ведут бизнес в отношении своих пользователей, открывает намного более широкий пласт юридических проблем, поэтому эффективное регулирование просто не может и не должно осуществляться исключительно силами национальных агентств по защите данных. Также она отметила, что, несмотря на то, что GDPR был спроектирован конкретно под работу с персональными данными, во многом его содержание уже сейчас выглядит устаревшим.