Отголоски GDPR: недавняя правоприменительная деятельность компетентных органов по вопросам защиты данных

Дата:2019-07-10

Для получения информации свяжитесь с нами

КОНТАКТЫ

После принятия Общего регламента о защите данных (GDPR) как крупнейшей встряски в области законодательства о конфиденциальности персональных данных за последние десятилетия, которая в настоящее время отмечается через год после его введения в действие 25.05.2018 года, мы стали свидетелями реализации органами защиты данных (DPA) вверенных им полномочий по расследованию и принудительному обеспечению соблюдения GDPR.

Весьма показательным примером недавней правоприменительной деятельности является наложение на компанию Google французскими DPA штрафа в размере 57 млн. долларов в связи с нарушением требований GDPR, в частности по причине непрозрачности и отсутствия надлежащей информации и действующего согласия на использование персональных данных в целях размещения персонализированной рекламы.В Германии в федеральной земле Баден-Вюртемберг за нарушение GDPR на компанию был наложен самый высокий в настоящее время штраф в размере 80 000 евро по причине отсутствия внутреннего контроля за данными о состоянии здоровья в сети интернет. На Кипре Уполномоченный по защите персональных данных недавно оштрафовал государственную больницу на 5000 евро в связи с жалобой пациентки на то, что больница не предоставила ей доступ к ее медицинской карте, в то время как на газету был также наложен штраф в размере 10 000 евро за незаконное разглашение имен и изображений двух полицейских.

Двумя наиболее важными инструментами расследования, которые имеются в распоряжении DPA и которые они, по всей видимости, готовы и согласны применять, являются рейды и проверки. Фактически рейды, которые проводятся без предупреждения и по своей сути являются внеплановыми обязательными расследованиями, проводимыми в связи с предполагаемыми нарушениями, жалобами или в рамках сообщений о нарушениях, фактически предоставляют DPA, при определенных обстоятельствах, возможность доступа к помещениям компаний, которые осуществляют обработку персональных данных. Такие рейды уже проводились в Великобритании и по ожиданиям будут широко применяться в ЕС. Все более действенным инструментом в арсенале DPA становятся проверки (аудиты), что позволяет им оценивать наличие у обработчиков или контролеров персональных данных эффективных средств контроля, методик и процедур, направленных на обеспечение выполнения обязательств по GDPR. Примечательно, что такие проверки могут осуществляться как по обоюдному согласию, то есть по запросу контролера или обработчика данных, так и в принудительном порядке. Немецкие DPA провели выборочные проверки по GDPR в 50 компаниях в течение лета 2018 года путем отправки исчерпывающих опросников указанному числу компаний с целью общей оценки соблюдения GDPR.

Ожидается значительное увеличение объема использования вышеуказанных механизмов из-за обязательного требования об уведомлении о нарушении режима безопасности персональных данных в соответствии с GDPR. Кроме того, по итогам многочисленных расследований, в том числе негласных, в ближайшем будущем следует ожидать гораздо большего количества результатов правоприменительной деятельности DPA, достойных публикаций на первых полосах.

В эпоху GDPR вышеупомянутыми последними событиями в правоприменительной деятельности DPA наглядно подтверждается бесспорное значение наличия эффективных механизмов защиты данных. Поскольку защита данных входит в сферу практической деятельности нашей юридической компании, мы будем рады предоставить нашим клиентам базовые услуги по защите данных, которые в полном объеме обеспечат обработчиков и/или контролеров персональных данных инструментарием с целью эффективного прохождения возможных рейдов, проверок, расследований и осуществлению другой правоприменительной деятельности DPA.

 

Для получения дополнительной информации о GDPR, смотрите нашу другую публикацию по ссылке http://www.pirilides.com/en/publication-detail/177/the-new-data-protection-regulation