Крупные техкомпании оспаривают штрафы за нарушение европейского закона о защите данных. Эксперты считают, что это предвестник регулирования ИИ. GDPR установил стандарт 72 часов на уведомление о нарушениях, но 40% штрафов оспариваются. — csoonline.com
Крупные технологические компании продолжают оспаривать штрафы, наложенные за предполагаемые нарушения европейского законодательства о защите данных, что может стать предвестником будущих нормативных актов в области ИИ.
Хотя юристы и эксперты, опрошенные CSO, в целом утверждают, что оспаривание техгигантами правил защиты данных не вызывает особой тревоги, более широкое внедрение технологий ИИ представляет собой гораздо более серьезную проблему для защиты данных на горизонте.
Общий регламент по защите данных (GDPR) ЕС вступил в силу восемь лет назад на этой неделе. За эти восемь лет европейские регуляторы наложили штрафы по GDPR на сумму около 7,1 млрд евро, но почти 40% из них, около 2,8 млрд евро, были либо уже аннулированы, либо находятся на стадии активного судебного обжалования, согласно анализу страхового брокера Alliance Risk.
Среди уже аннулированных штрафов — штраф в размере 746 млн евро против Amazon (Люксембург, март 2026 г.) и штраф в 15 млн евро против OpenAI (Италия, март 2026 г.). Среди активно обжалуемых — три штрафа против Meta* (1,2 млрд евро, 265 млн евро и 91 млн евро) и один против TikTok (530 млн евро).
Alliance Risk использовала CMS Law GDPR Enforcement Tracker в качестве основного источника информации о применении GDPR, сопоставляя ее с данными IAPP и трекерами от Kiteworks и UniConsent. Данные об аннулированиях получены из опубликованных судебных решений.GDPR установил эталон для уведомления о нарушениях
По данным Alliance Risk, GDPR успешно заложил основу для законодательства о защите данных во всем мире — в частности, впервые установив стандарт уведомления о нарушении в течение 72 часов.
Это трехдневное правило уведомления действует в шести юрисдикциях — ЕС, Великобритании, Таиланде, Кении, Нигерии и Южной Корее — и оказывает влияние и в других местах. Например, в правиле CIRCIA США для критической инфраструктуры, окончательная публикация которого ожидается в этом месяце, будет применен стандарт 72 часов.
Для сравнения, HIPAA предоставляет организациям здравоохранения США 60 дней на уведомление о нарушении. SEC дает публичным компаниям четыре рабочих дня, но только после того, как они внутренне определят, что нарушение является «существенным», что добавляет собственную задержку.
Хотя нормативные акты об уведомлении о нарушениях, установленные GDPR, оказались успешными, проблемы с правоприменением правил сохраняются.
«В рамках существуют структурные недостатки, которыми крупные компании научились пользоваться в суде, и почти 40% объявленных штрафов отражают это», — говорится в отчете Alliance Risk.
Акт ЕС об ИИ начнет применяться в полном объеме в августе, а Европейская комиссия уже предлагает реформировать GDPR через Digital Omnibus. «Структура переписывается, пока она еще тестируется», — заключает Alliance Risk.
«Тот факт, что около 40% штрафов по GDPR по стоимости оспариваются, не обязательно является признаком того, что система сломана», — говорит CSO Ник Филлипс, юрист по интеллектуальной собственности из Edwin Coe LLP. «Спустя восемь лет крупные штрафы всегда должны были доходить до суда, и решения, вытекающие из этих апелляций, начинают давать штатным юридическим отделам то, чего у них никогда по-настоящему не было: практическое руководство о том, что регуляторы могут и не могут отстаивать».
Филлипс утверждает, что достижение соответствия требованиям GDPR повысило зрелость корпоративной безопасности благодаря правилу уведомления о нарушении в течение 72 часов в сочетании с обязательством регистрировать все нарушения и уведомлять субъектов данных, а также с необходимостью улучшения мер безопасности даже больше, чем угроза штрафа за несоблюдение.
«Этот режим уведомления о нарушениях, возможно, стал самым важным фактором, заставившим организации внедрить надлежащее реагирование на инциденты, заключить договоры с поставщиками криминалистических услуг и начать сообщать о нарушениях руководству», — говорит Филлипс. «Многое из этого просто не происходило до 2018 года, и это та часть GDPR, которая сделала наибольшую работу».
Марко Эггерлинг, LL.M, директор по безопасности и доверию в регионах EMEA и Азии у поставщика роботизированной автоматизации процессов UiPath, считает, что «было бы ошибкой рассматривать эти аннулирования как оправдание техгигантов судами».
«В деле Amazon суд Люксембурга подтвердил суть нарушений и вернул дело регулятору», — отмечает Эггерлинг. «Штраф был отменен, потому что орган пропустил требуемые шаги, а не потому, что поведение было признано законным».
Эггерлинг добавляет: «Урок для регуляторов — составлять процедурно безупречные решения. Урок для компаний — что основополагающие обязательства не сдвинулись ни на дюйм».
Даже в пределах ЕС существует разница в понимании и применении норм, что затрудняет принятие трансграничных решений в отношении данных и ИИ.
«Многие организации склоняются к «наименьшему общему знаменателю» и придерживаются самых строгих правил управления и более консервативных подходов, чтобы избежать гнева регуляторов», — говорит Кэролайн Каррутерс, генеральный директор и основатель глобальной консалтинговой компании по данным Carruthers and Jackson.
Великобритания и ЕС применяют более строгие правила, чем США или Китай, поэтому многие организации придерживаются более строгих правил, где бы они ни работали.
Благодаря своему размеру и характеру, организации «большой техники» склонны иметь повышенную склонность к риску и желание раздвигать границы нормативных актов — и часто иное отношение к широкой общественности, чьи данные составляют их бизнес-модель. «Они заинтересованы в дерегулировании, поэтому, естественно, с наибольшей вероятностью будут оспаривать правоприменение», — отмечает Каррутерс.Нормативные акты о данных должны развиваться с появлением ИИ
По мнению Каррутерс, для большинства организаций правоприменение GDPR достигло уровня, когда оно в целом соответствует своему назначению.
«Когда GDPR был впервые введен, руководство было неясным и непоследовательным», — объясняет Каррутерс. «Он казался юридически надежным, но многим специалистам по данным было трудно заставить его работать. Даже сейчас некоторые компании сообщают нам, что они немного «парализованы» GDPR. Они сильно боятся данных и связанного с ними регулирования, до такой степени, что не могут максимально использовать — или даже касаться — потенциальную мощь данных».
Однако по мере развития регулирования в области ИИ и данных необходимо учитывать, как сейчас используются эти инструменты.
Опасение заключается в том, что история может повториться, поскольку регулирование пытается не отставать от технологических изменений. «Существует риск того, что организации застрянут на плато средней зрелости, при котором инновации останавливаются из-за сложных и противоречивых толкований нормативных актов», — предупреждает Каррутерс.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John Leyden