Крупные технологические компании продолжают выступать против штрафов, взимаемых за предполагаемые нарушения европейского законодательства о защите данных. При этом они уже стоят на пороге введения новых правил, связанных с искусственным интеллектом.

Сегодня большинство экспертов считают, что оспаривание бигтехами правил защиты данных не является поводом для беспокойства, а вот широкое внедрение технологий ИИ в перспективе может иметь гораздо более серьезные последствия с точки зрения защиты данных.

Общий регламент защиты данных Регламент GDPR (General Data Protection Regulation) вступил в силу восемь лет назад. За эти годы европейские регуляторы объявили о наложении штрафов на общую сумму около 7,1 млрд евро, но почти 40% из них, на сумму около 2,8 млрд евро, либо аннулированы, либо находятся в стадии судебного разбирательства.

К уже отмененным относятся, в частности, штрафы, наложенные на Amazon (в размере 746 млн евро, Люксембург, март 2026 года) и OpenAI (15 млн евро, Италия, март 2026 года). В стадии обжалования находятся три штрафа, выставленные Meta (1,2 млрд евро, 265 млн евро и 91 млн евро), и один штраф TikTok (530 млн евро).

Аналитики Alliance Risk отмечают, что GDPR заложил фундамент для глобального законодательства о защите данных, установив в том числе и стандарт уведомления о нарушениях в течение 72 часов. Правило о трехдневном уведомлении действует сейчас в шести юрисдикциях – ЕС, Великобритании, Таиланде, Кении, Нигерии и Южной Корее – приобретая все более важное значение и для других стран. В соответствии с правилом CIRCIA для критической инфраструктуры США, которое должно быть опубликовано в окончательном виде в самое ближайшее время, будет применяться 72-часовой стандарт.

При этом HIPAA предоставляет медицинским организациям в США для уведомления о нарушениях целых 60 дней. SEC отводит публичным компаниям на это четыре рабочих дня, но только после того, как они внутри у себя определят, что нарушение является «существенным», что само по себе увеличивает задержку.

Действительно, у системы есть структурные слабости, которые крупные компании научились виртуозно эксплуатировать в суде. Однако отмена штрафа еще не означает, что суд встал на сторону нарушителей по существу. В деле Amazon Люксембургский суд поддержал суть нарушений и отправил дело обратно в регулирующий орган. Штраф был уменьшен, потому что власти допустили процедурные нарушения, а не потому, что действия компании были признаны законными.

Ввод в действие режима обязательного уведомления о нарушениях стал важнейшим фактором, заставившим организации должным образом реагировать на инциденты, привлекать поставщиков услуг судебной экспертизы и сообщать о нарушениях совету директоров. До 2018 года этого, как правило, просто не происходило.

Из-за своего размера и характера деятельности бигтехи обычно проявляют повышенную склонность к риску, выходя за рамки установленных ограничений, и по-другому выстраивают отношения с широкой общественностью. Они кровно заинтересованы в дерегулировании и всеми силами будут оспаривать правоприменительную практику.

С появлением ИИ правила обработки данных должны эволюционировать. Сразу после утверждения GDPR они были неясными и непоследовательными. Даже сейчас некоторые компании сообщают, что GDPR их в какой-то мере парализовал. Они боятся данных и связанного с ними регулирования, иногда до такой степени, что уже не в состоянии использовать их потенциальную силу.

Есть риск, что история может повториться, поскольку регуляторы стремятся идти в ногу с технологическими изменениями. И если инновации остановятся из-за сложных и противоречивых интерпретаций нормативных актов, организации застрянут на очередном этапе своего развития.