Два способа улучшить соблюдение GDPR

GDPR — это регламент Европейского Союза, и его требования одинаковы для всех стран-членов ЕС. Однако в соответствии с текущим подходом к обеспечению соблюдения GDPR орган по защите данных (DPA) каждого государства-члена ЕС несет ответственность за интерпретацию и обеспечение соблюдения GDPR. Это связано с отсутствием централизованного органа по обеспечению соблюдения GDPR. ЕС не обеспечивает соблюдение GDPR; он распространяет подотчетность на каждую отдельную страну.

Кроме того, государством-членом ЕС, ответственным за соблюдение GDPR в отношении конкретной компании, является государство, в котором компания имеет наибольшее присутствие, даже если компания также работает в других частях ЕС. Этот подход, известный как механизм «единого окна», означает, что DPA в конкретном государстве-члене, где находится штаб-квартира компании, несет ответственность за обеспечение соблюдения любых нарушений GDPR, которые имели место в другой стране.

Например, Ирландия, где расположены главные офисы многих крупных технологических компаний в ЕС, может оказаться вынужденной обеспечить соблюдение GDPR в ответ на проблему, связанную с личными данными граждан Швеции или Польши, в случае, если компания, чья Главный офис находится в Дублине, а также работает в этих других странах.

Текущий подход к обеспечению соблюдения GDPR представляет собой серьезные проблемы как для регулирующих органов, так и для бизнеса.

Для DPA, которые подотчетны Европейскому совету по защите данных, децентрализованная модель правоприменения означает, что каждое государство-член должно поддерживать свои собственные правоприменительные операции, а не консолидировать административные и юридические усилия по обеспечению правоприменения через центральный орган ресурсов.

Кроме того, децентрализованная модель возлагает на отдельные государства-члены ответственность за интерпретацию требований GDPR самостоятельно. Таким образом, регулирующим органам в одной стране, возможно, придется потратить время на оценку проблемы интерпретации GDPR, которая уже решена правоохранительным органом другой страны.

В то же время необходимость интерпретировать GDPR как разрозненный процесс может привести к непоследовательному правоприменению. Хотя на сегодняшний день не возникло серьезных разногласий между различными правоохранительными органами, возможны тонкие расхождения в толкованиях – и когда дело доходит до соблюдения требований, именно нюансы часто имеют решающее значение. Если решения, принятые одним правоохранительным органом, хотя бы в незначительной степени противоречат решениям другого, компаниям может быть сложно понять, как именно интерпретировать требования GDPR.

Есть два основных пути решения текущих трудностей, связанных с правоприменением.

Централизованное соблюдение GDPR

Другой прогнозируемый подход заключается в том, чтобы ЕС придерживался своего нынешнего децентрализованного подхода к обеспечению соблюдения GDPR, но инвестировал в меры, которые сделали бы обеспечение более последовательным и эффективным.

Например, регулирующие органы могли бы поощрять государства-члены более последовательно обмениваться данными друг с другом. В настоящее время не существует систематического процесса, позволяющего правоохранительным органам в одной стране узнавать, что их коллеги в других странах делают для устранения нарушений GDPR со стороны конкретной компании. Возможность более эффективного сотрудничества через границы повысит эффективность правоприменительных операций (поскольку регулирующим органам не придется так часто дублировать работу друг друга), а также обеспечит согласованность и консенсус в отношении того, как интерпретировать GDPR.

Разработка более четких рекомендаций по интерпретации GDPR также могла бы помочь. GDPR, как основа, основанная на принципах, может быть сложной для интерпретации, из-за чего предприятиям сложно соблюдать его требования, а правоохранительным органам в различных странах – определять, когда имело место нарушение. Централизованное руководство по интерпретации в виде разъяснений сложных требований GDPR или примеров успешного соблюдения требований поможет обеспечить более последовательное и эффективное соблюдение GPDR даже без централизованного правоохранительного органа.

GDPR будет продолжать развиваться в ближайшие годы, и при рассмотрении будущих поправок основное внимание будет уделяться обеспечению соблюдения требований.

Во многих отношениях, вместо переосмысления всей модели правоприменения, более важным приоритетом остается сделать более доступными последовательные руководящие принципы и процессы правоприменения. Это будет ключевым вопросом для предприятий, стремящихся адаптироваться к меняющимся практикам обеспечения соблюдения GDPR.