Почему Ирландия доминирует в правоприменении GDPR ЕС
Ирландская Комиссия по защите данных (DPC) является ведущим надзорным органом для большинства крупных технологических компаний ЕС. Эта концентрация не случайна — она отражает агрессивную корпоративную налоговую политику Ирландии и англоязычную правовую среду, которая привлекла Apple, Google, Meta, Microsoft, LinkedIn, WhatsApp, TikTok, Twitter/X и десятки других технологических компаний для создания их штаб-квартир в ЕС в Ирландии.
Согласно механизму «единого окна» GDPR (Статья 60), DPC выступает ведущим надзорным органом для любой компании, чьё главное учреждение в ЕС находится в Ирландии. Это означает:
- Жалоба, поданная в Германии против Facebook, поступает в ирландский DPC, а не в немецкий BfDI
- DPC координирует действия с другими DPA ЕС (заинтересованными надзорными органами) по трансграничным делам
- Решения о правоприменении DPC обязательны для всего ЕС — решение DPC против Meta применяется везде в ЕС
В результате DPC выдал больше стоимости штрафов GDPR, чем все остальные DPA ЕС вместе взятые:
- €530 млн против TikTok (май 2025): Незаконная передача данных пользователей ЕС в Китай
- €310 млн против LinkedIn (октябрь 2024): Незаконная обработка данных для поведенческого анализа
- €251 млн против Meta (ноябрь 2024): Нарушения уведомления об утечках данных и неадекватная безопасность
- €1,2 млрд против Meta/Facebook (май 2023): Крупнейший штраф GDPR когда-либо — передачи данных между ЕС и США
DPC обработал более 8 500 трансграничных дел в 2024 году — объём, отражающий как концентрацию крупных технологических компаний ЕС в Ирландии, так и расширенные правоприменительные ресурсы DPC.
Что правоприменение DPC говорит нам о выборе поставщика
Паттерн правоприменения DPC показывает, какие технические нарушения регуляторы ЕС считают наиболее серьёзными:
1. Трансграничные передачи данных (TikTok, Meta, LinkedIn): Крупнейшие штрафы DPC связаны с нарушениями передачи данных — данные пользователей ЕС, передаваемые на серверы в странах без адекватной защиты данных (США, Китай). Штраф TikTok конкретно установил, что данные пользователей ЕС были доступны китайским инженерам в нарушение собственных заявленных гарантий TikTok.
Следствие для выбора поставщика: Любой поставщик SaaS, чьи данные ЕС могут быть доступны персоналу, не входящему в ЕС — даже через техническую поддержку, отладку или разработку — сталкивается с потенциальной уязвимостью DPC. Хранение данных ЕС с техническими мерами контроля доступа, предотвращающими доступ извне ЕС, является соответствующей архитектурой.
2. Нарушения уведомления об утечках данных (Meta): Штраф Meta в €251 млн включал выводы о том, что утечка данных Facebook 2018 года не была оперативно уведомлена в DPC и что меры безопасности были неадекватны. DPC установил, что «отсутствие детализированного журналирования» сделало невозможным определение полного масштаба утечки.
Следствие для выбора поставщика: Поставщики SaaS, обрабатывающие персональные данные, должны иметь журналирование аудита, достаточное для определения масштаба утечки. Поставщики без детализированных журналов аудита не могут удовлетворить требования уведомления об утечках GDPR Статьи 33(3)(b).
3. Нарушения правового основания (LinkedIn): Штраф LinkedIn в €310 млн установил, что заявления LinkedIn о «законных интересах» для поведенческого анализа были недействительными — обработка не была необходима для заявленных целей, и результат теста на баланс не был в пользу LinkedIn.
Следствие для выбора поставщика: «Законный интерес» не является универсальным оправданием для обработки ИИ и аналитики. Организации должны проводить задокументированные тесты на баланс, демонстрирующие, что их интересы действительно перевешивают интересы субъектов данных.
Стандарт «нулевого знания», формирующийся из дел DPC
Читая крупные дела DPC вместе, формируется технический стандарт: данные, криптографически недоступные инженерам поставщика, удовлетворяют основной обеспокоенности каждого крупного дела правоприменения DPC.
TikTok: Китайские инженеры получили доступ к данным пользователей ЕС, поскольку имели технический доступ к серверам ЕС. Архитектура нулевого знания — где серверы ЕС хранят только зашифрованные данные без возможности расшифровки — предотвратила бы нарушение.
Meta (утечка Facebook): Неадекватное журналирование сделало масштаб утечки неопределённым. Архитектура нулевого знания даёт дополнительное преимущество: даже если серверы взломаны, зашифрованные данные бесполезны для злоумышленников — уменьшая охват уведомления об утечке.
Meta (передачи ЕС-США): Данные пользователей ЕС были доступны американским инженерам. Если бы данные пользователей ЕС были зашифрованы ключами, хранящимися только у пользователей (нулевое знание), американские инженеры, получающие доступ к серверам ЕС, увидели бы только шифртекст — а не персональные данные.
Для организаций, выбирающих поставщиков SaaS, обрабатывающих конфиденциальные персональные данные ЕС: архитектура нулевого знания (где поставщик не хранит ключи расшифровки) является наиболее обоснованной технической позицией для соответствия DPC.
Юрисдикция DPC: что означает «главное учреждение»
Для организаций, рассматривающих перемещение операций ЕС для целей юрисдикции DPA, интерпретация DPC «главного учреждения» актуальна:
«Главное учреждение» означает место, где находится центральное управление организации в ЕС, или (конкретно для контролёра) где принимаются решения о целях и средствах обработки. Оно не определяется исключительно зарегистрированным адресом.
Если GDPR-решения компании принимаются командой конфиденциальности на базе Лондона (Великобритания — не ЕС), у компании может не быть «главного учреждения» в ЕС для механизма единого окна GDPR, а это означает, что DPA каждого государства — члена ЕС может иметь юрисдикцию для жалоб на своей территории.
Последствия для оценки поставщиков SaaS
Для корпоративных организаций, выбирающих поставщиков SaaS для целей соответствия GDPR:
Оценка юрисдикции DPA:
- Где находится главное учреждение поставщика в ЕС? Это определяет ведущий DPA.
- Каков послужной список правоприменения ведущего DPA и технические требования?
- Имеет ли поставщик опыт расследований DPA?
Оценка технической архитектуры:
- Остаются ли данные пользователей ЕС в инфраструктуре на хостинге в ЕС?
- Могут ли инженеры, не входящие в ЕС, получить доступ к данным пользователей ЕС?
- Какое шифрование применяется к данным пользователей ЕС в состоянии покоя?
- Достаточно ли журналов аудита для определения масштаба утечки?
Документация механизма передачи:
- Какой правовой механизм охватывает потоки данных ЕС–США для этого поставщика?
- Проводил ли поставщик Оценку воздействия на передачу?
- Какие дополнительные технические меры существуют?
Правоприменение DPC демонстрирует, что даже компании с изощрёнными программами соответствия — и TikTok, и Meta имели команды GDPR, DPO и программы конфиденциальности — могут столкнуться с массивными штрафами, когда техническая архитектура не соответствует заявлениям о соответствии.
Источники: