До сих пор GDPR не могут ограничить злоупотребления использования крупными компаниями личных данных граждан ЕС. В результате некоторые регулирующие органы стран ЕС проводят собственные расследования - часто в рамках других законодательных актов.
Несмотря на то, что GDPR вступил в силу лишь в мае 2018 года, и прошло объективно не так много времени, эти три года принесли по большей части разочарование эффективностью его работы, пишет Compliance Week.
Ульрих Келбер (Ulrich Kelber), немецкий федеральный комиссар по защите данных и свободе информации, отметил, что GDPR “не полностью эффективен” против недобросовестной практики крупных технологических компаний, поскольку фокусируется лишь на одной области - приватности данных. По его словам, агентствам по защите данных нужно наладить межведомственное взаимодействие с другими регуляторами - например, антимонопольщиками - поскольку то, что иногда делают с данными пользователей, значительно выбивается за пределы “списка”.
GDPR применяется достаточно точечно, этот закон известен крупными штрафами в отношении транснациональных компанией, однако они не имеют системного характера.
Например, в 2020 году Французская национальная комиссия по информационным технологиям и правам человека (CNIL) оштрафовала Google на 100 миллионов евро за установку cookies. В 2020 году комиссар ведомства по защите данных и свободы информации Гамбурга (HmbBfDI) оштрафовал H&M на 35,3 миллионов евро за незаконную обработку личных данных нескольких сотен сотрудников. Также в прошлом году итальянское агентство DPA Garante оштрафовало оператора связи TIM на 27,8 миллионов евро за агрессивную маркетинговую стратегию, от которой пострадали несколько миллионов человек. Компания отправляла сообщения, на которые клиенты не подписывались, предоставляла непрозрачную информацию об обработке персональных данных, сохраняла их дольше, чем необходимо, и игнорировала отказы от получения рекламных сообщений.
