Краткая информация о ресурсах и правоприменительной деятельности национальных надзорных органов стран-членов ЕС

Европейский Совет по защите персональных данных получил от Комитета по гражданским свободам, правосудию и внутренним делам Европарламента запрос на предоставление статистики касательно ресурсов, предоставленных государствами-членами в распоряжение надзорных органов, а также о правоприменительной деятельности надзорных органов. В ответ на данный запрос EDPB собрал самую свежую информацию и обновил имеющуюся статистику.

Как отмечается в Обзоре ресурсов, предоставленных государствами-членами в распоряжение надзорных органов, а также о правоприменительной деятельности надзорных органов1Overview on resources made available by Member States to the Data Protection Authorities and on enforcement actions by the Data Protection Authorities (далее – Обзор), «Европейский Совет по защите персональных данных2European Data Protection Board – EDPB получил от Комитета по гражданским свободам, правосудию и внутренним делам3Committee on Civil Liberties, Justice and Home Affairs (LIBE Committee) Европарламента запрос на предоставление статистики касательно ресурсов, предоставленных государствами-членами в распоряжение надзорных органов, а также о правоприменительной деятельности надзорных органов. В ответ на данный запрос EDPB собрал самую свежую информацию и обновил имеющуюся статистику.

Поскольку право на защиту персональных данных является фундаментальным правом человека, признанным в ЕС и утверждённым Европейской Хартией об основных правах (ст. 8), данное право должно быть обеспечено сильным и надёжным надзором. Необходимым условием такого надзора является надлежащая обеспеченность надзорных органов персоналом и ресурсами. Для того, чтобы идти в ногу с быстро развивающимися технологиями и цифровизацией, надзор должен иметь «запас прочности», достаточный не только для сегодняшнего, но и для завтрашнего дня. Надзорные органы должны быть способны призывать к ответу даже крупнейших игроков рынка. Все это требует значительных ресурсов.

GDPR установил механизм сотрудничества, благодаря которому надзорные органы стали взаимодополняющими и взаимозависимыми. Применяя «механизм одного окна», надзорные органы способны организовать надежный надзор по всему ЕС. Эффективное применение механизма «одного окна» требует, среди прочего, чтобы все надзорные органы, а также EDPB, были надлежаще обеспечены – недостаточная обеспеченность одного органа, расследующего трансграничные дела, может иметь негативные последствия для граждан всего ЕС.

Прежде всего, Обзор дает информацию о финансовых ресурсах, доступных надзорным органам.

Бюджет национальных надзорных органов варьируется кратно –почти до 200 раз: 18 надзорных органов Германии4в каждой федеральной земле в 2021 г. совокупно получили €94 793 900 (в 2020 – €82 601 600) против € 620 000 и € 550 000 (в 2021 и 2020 гг. соответственно), полученных надзорным органом Мальты.

После Германии самыми крупными бюджетами обладают надзорные органы Италии (€35 627 273 и €30 127 273, соответственно), Нидерландов (€26 274 528 и €24 295 374) и Франции (€21 507 000 и €20 144 000).

Для большинства надзорных органов характерно значительное (у большинства15 – 20 %, а, например в Австрии более, чем на 30 %) увеличение бюджета.

При этом только 82% надзорных органов заявляют о том, что их финансирование является недостаточным.

По человеческим ресурсам Германия также далеко оторвалась от остальных стран – 1 083 человека в 2021 г. (1 003 в 2020). Следом идет Польша (271 и 243, соответственно), далее Франция (245 и 225), затем Испания (189).

По состоянию на конец 2020 г. во французской CNIL было 225 сотрудников, их средний возраст составлял 39 лет, средний стаж – 8 лет, большинство составляли женщины (63%).

86 % надзорных органов заявили о недостаточности их штата для выполнения возложенных задач.

По состоянию на 01 января 2021 г. непосредственно в выполнении задач, связанных с рассмотрением жалоб, правоприменением и наложением санкций задействовано в Германии – 717 чел., в Италии – 148 и в Польше – 107 чел., в остальных странах – менее 100 чел.

По количеству правоприменительных дел национального масштаба Германия также на первом месте: в 2020 г. зарегистрировано 62 451 дело, за январь – май 2021 г. – 17 616. На втором месте Нидерланды: 24 640 и 6 740, соответственно. Третье место у Ирландии: 17 830 и 7 400.

За период с 25 мая 2018 г. по 31 мая 2021 г. всеми надзорными органами ЕС всего было зарегистрировано 1 615 трансграничного характера. Из них в 887 случаях были вовлечены надзорные органы Германии, в 183 они были ведущим надзорным органом. На втором месте Ирландия: 164 дела в качестве ведущего надзорного органа.

CNIL сообщает о том, что в 2020 г. разрешено 11 дел, в которых она была ведущим надзорным органом.

На основании жалоб субъектов персональных данных надзорные органы Германии возбудили в 2020 г. 40 309 дел, за январь – май 2021 г. – 8 098. Вторую позицию по этому показателю занимает Франция: 13 585 и 5 830, третью – Испания: 11 108 и 4 910, соответственно. Из этого числа по состоянию на 31 мая 2021 г. разрешено: в Германии – 25 8495данные по Германии являются неполными, т.к. не все органы федеральных земель отчитались по этому показателю, во Франции – 32 009, по Испании данные отсутствуют.

В 2020 г. надзорные органы Германии возбудили 27 652 дел на основании уведомлений о нарушении целостности или конфиденциальности персональных данных6data breach notification, за январь – май 2021 – 7 894. На втором месте – Нидерланды: 24 055 и 6 617, соответственно7по 2021 г. информация является неполной.

Французский CNIL в 2020 г. обработала 121 439 телефонных обращений, 20 452 обращений, поступивших по электронным средствам связи, сайтом организации зарегистрировано 9 677 000 посещений. Число подписчиков официальных аккаунтов организации составляет: Lindedln – 133 053, Twitter – 124 059, Facebook – 37 414.

Из 13 585 поступивших жалоб было оперативно разрешено 4 528, 9 057 потребовали более глубокого расследования.

В 2020 г. CNIL приняла участие в 20 парламентских слушаниях, ответила на 8 парламентских запросов, приняла решения по 423 случаям, связанным с разрешениями на проведение исследований в области здравоохранения8включая 89 случаев, связанных с COVID-19, 45% из которых рассмотрены в течение 2 дней, приняла 139 иных консультативных решений, включая 96 заключений на проекты законов и иных нормативных актов. 73 331 организаций назначили DPO, общее число назначений в 2020 г. составило 25 494.

На бесплатном ресурсе CNIL по изучению GDPR в 2020 г. создано 109 472 аккаунта.

CNIL получила в 2020 г. 2 835 data breach notifications.

По общему объему наложенных лидирует Италия: €60 019 14795 случаев в 2020 г. и €11 799 0601087 случаев в 2021. Далее идет Германия с €56 440 93611263 случая в 2020 г.

При этом, согласно собственной статистике CNIL, французский надзорный орган в 2020 г. наложил штрафов на €138 489 300.

Крупнейшие штрафы за весь период действия GDPR были наложены надзорными органами Франции – €50 000 000, Германии – €35 258 708 и Италии – €27 802 946.

Всего по ЕС 76% штрафов были в пределах €10 000, 19% – от €10 000 до €100.000, 3% – от €100 000 до €500 000 и лишь 2% – свыше €500 000.

Эти данные, естественно, не учитывают последние события, включая рекордный штраф в приблизительно €746 000 000, вынесенный надзорным органом Люксембурга в отношении Amazon.

Наибольшее количество решений, обжалованных в судебном порядке, приходится на Болгарию – 328, из которых 71 отменено судом, 24 изменено и 231 подтверждено судом. Второе место по этому показателю занимает Испания: 266, 68, 22, 178 дел, соответственно. Третье место у Италии: 233, 25, 14 и 50 дел, соответственно.

Дела национального масштаба дольше всего рассматриваются в Люксембурге – 26 мес., в Бельгии и Хорватии – 18, в Италии – 16 месяцев. Чехия, Кипр и Венгрия управляются с такими делами в среднем за 2 месяца. Трансграничные дела Финляндия рассматривает в среднем 26 месяцев, Нидерланды – 24, Италия – 23 месяца. Венгрия – 2, Болгария – 5, Кипр – 6 месяцев. Статистика свидетельствует о том, что чаще всего национальные надзорные органы не укладываются в сроки, установленные законом, если национальное законодательство вообще предусматривает такие сроки.

  • 1
    Overview on resources made available by Member States to the Data Protection Authorities and on enforcement actions by the Data Protection Authorities
  • 2
    European Data Protection Board – EDPB
  • 3
    Committee on Civil Liberties, Justice and Home Affairs (LIBE Committee)
  • 4
    в каждой федеральной земле
  • 5
    данные по Германии являются неполными, т.к. не все органы федеральных земель отчитались по этому показателю
  • 6
    data breach notification
  • 7
    по 2021 г. информация является неполной
  • 8
    включая 89 случаев, связанных с COVID-19, 45% из которых рассмотрены в течение 2 дней
  • 9
    5 случаев
  • 10
    87 случаев
  • 11
    263 случая
Поделиться