Несмотря на огромный размер обещанных штрафов за несоблюдение требований по обеспечению сохранности персональных данных (до 20 млн. евро, или до 4% от годового оборота - суммы, в самом деле, немалые), компании больше следят за фактическим потенциалом национальных регуляторов в плане сбора штрафов, а не за, собственно, обеспечением комплайенса.
За прошедшее время в очень небольшом числе случаев успели наложить по-настоящему большие штрафы, и эксперты говорят, что максимально установленные планки даже вряд ли в скором времени будут использованы. Исключения, конечно, есть: речь идет о технологических гигантах вроде Google или Facebook, которых власти вполне способны “приложить” по-максимуму, не опасаясь, что это серьезно пошатнет их финансовое здоровье. Только вот шансы на то, что это повлияет как отрезвляющий душ на более мелких участников рынка, даже если они будут лично это наблюдать, в действительности небольшие, ведь они тоже видят разницу.
Расположенный в Ирландии Офис Уполномоченного по защите данных - это независимый национальный орган, отвечающий за соблюдение права европейских граждан на сохранение конфиденциальности их персональных данных, и эта организация не так давно поделилась дельной мыслью на этот счет. Оказывается, вместо того чтобы выписывать зубодробительные штрафы, стоит пойти немного иным путем и воспользоваться чем-то другим из арсенала так называемых “корректирующих мероприятий”, чтобы организации более активно начали следовать требованиям GDPR. К таким мерам можно отнести публикацию руководств и официальных мнений, проведение добровольных или обязательных аудиторских проверок, специальные предписания о выполнении требований владельцев данных, прямые предписания по корректировке, удалению данных или ограничению на их обработку.
Ограничения вообще считаются одной из самых действенных мер, которые надзорные органы имеют в своем распоряжении. На крупные технологические организации очень действует способность властей накладывать временные или постоянные ограничения, блокируя, например, отток данных в пользу какой-то международной организации или страны, где законодательно не прописано следование общему регламенту о защите персональных данных. Такие меры воздействия могут оказаться сильнее любого штрафа.
И они уже применяются - правда, довольно ограниченно. Согласно июньскому докладу Европейской комиссии, 13 европейских органов надзора накладывали за это время ограничения на обработку данных, а 17 - выпускали постановления о корректировке, удалении или ограничении на обработку данных. В большинстве же случаев национальные регуляторы предпочитают браться за “кнут”, то есть штрафы.