Глава эстонского стартапа GDPR Register Крете Паал проанализировала крупнейшие нарушения и судебные решения, которые оказывают влияние на эстонские компании и развитие сферы защиты данных.

Самый крупный штраф в 1,3 миллиарда евро был наложен на компанию Meta Platforms, владельца Facebook, за передачу данных граждан ЕС в США без надлежащей защиты. «Международные передачи данных – одна из самых сложных и строго регулируемых областей GDPR. Эстонским компаниям стоит пересмотреть свои процессы, чтобы убедиться в их соответствии последним требованиям, и обеспечить достаточные меры защиты данных», – отметила Паал.

Эксперт рекомендовала предприятиям регулярно проводить аудит международных потоков данных, использовать шифрование и актуальные протоколы защиты, а также следовать последним решениям Европейского суда.

Другие крупные штрафы получили TikTok (345 миллионов евро) за незаконную обработку данных детей и LinkedIn (310 миллионов евро) за неправомерное использование пользовательских данных для поведенческого анализа и таргетированной рекламы.

Крете Паал подчеркнула, что прошлый год стал знаковым благодаря важным решениям Европейского суда, которые формируют будущее защиты данных.

Одно из решений касалось использования Google Analytics и передачи персональных данных в третьи страны, такие как США, где отсутствует эквивалентная защита данных. Суд постановил, что такие передачи нарушают GDPR, если не предусмотрены достаточные меры защиты, например, стандартные договорные условия или шифрование данных.

Это решение затрагивает и эстонские компании, работающие на международных рынках или использующие инструменты, передающие данные за пределы ЕС. «Рекомендую проконсультироваться со специалистом по защите данных, критически оценить свои процессы и, при возможности, использовать европейские серверы или альтернативные аналитические инструменты», – сказала Паал.

Европейский суд также установил четкие правила для мониторинга сотрудников, подчеркнув, что такие действия должны быть обоснованными, прозрачными и соответствовать GDPR. «Компании обязаны информировать сотрудников о надзоре, а его масштаб должен быть пропорционален целям. Это особенно важно в секторах, где применяются системы наблюдения, такие как видеокамеры или GPS-устройства», – отметила Паал.

Еще одно важное постановление запретило манипулятивные элементы пользовательских интерфейсов, которые вводят пользователей в заблуждение, например, скрывая кнопку «отказаться» или делая ее менее заметной. Теперь кнопки для согласия и отказа должны быть одинаково видимыми, а согласие – добровольным и осознанным.

«Это решение устанавливает более высокие стандарты прозрачности и честности, что затрагивает практически все компании, работающие в электронной коммерции и онлайн-сервисах», – добавила Паал.

Подводя итоги года, она отметила, что защита данных – это динамичная сфера, где ключевую роль играет предотвращение нарушений. «Для минимизации рисков важно регулярно проводить аудиты, обучать сотрудников и внедрять как технические, так и организационные меры», – посоветовала эксперт.

Стартап GDPR Register, созданный в Эстонии в сотрудничестве с IT-экспертами, упрощает соблюдение требований GDPR, помогая компаниям и учреждениям эффективно управлять процессами, связанными с регулированием.