Нідерланди як країна-член ЄС підпадають під юрисдикцію європейського GDPR, або Загального регламенту захисту даних. Однак країні довелося самостійно боротися з техногігантами, щоб гарантувати безпеку нідерландських користувачів.
Як повідомляє New York Times, нідерландських законодавців хвилювало широке використання сервісів компаній "Ґуґл" та "Зум" в системі освіти, особливо під час пандемії COVID-19. Європейські законодавці дуже прискіпливо ставляться до безпеки дітей в онлайн-просторі, тож щодо них GDPR накладає ще більше обмежень.
Активність нідерландців у напрямку захисту персональних даних розпочалася ще у 2018 році. Черговий аудит 2021 року показав, що "Ґуґл" не повністю застосовує обмеження на використання даних школярів та вчителів у додатках, які широко використовують у системі освіти.
"Ґуґл" врахував деякі зауваги нідерландців, але загалом відмовився усувати всі ризики. Після цього країна пішла на радикальний крок та пригрозила заборонити місцевим освітянам використовувати додатки компанії, якщо та не дослухається до регулятора. Однак, якби погрози були єдиним їхнім рішенням, Нідерландам ніколи б не вдалося схилити компанії на свій бік.
На жаль, централізовано забезпечити дотримання норм GDPR на рівні ЄС неможливо через величезну кількість даних, способів їх зберігання та використання. Союзу. Нідерландським урядовцям довелося за столом переговорів шукати способу схилити компанію усунити ризики, що унеможливлюють прозорість використання даних дітей.
За словами Шуери Нас (Sjoera Nas), консультантки, що допомагала нідерландцям у переговорах з "Майкрософтом", "Ґуґлом" та "Зумом", спочатку техкомпанії реагували на їхні вимоги з подивом: “Ну і що? Ви ж Нідерланди. Ви нічого не означаєте”.
Представникам країни вдалося довести, що їхній випадок може створити небезпечний прецедент на ринку ЄС — і замість 17 мільйонів нідерландців компанії можуть втратити близько 450 мільйонів користувачів з усієї Європи. У результаті тривалих переговорів нідерландські урядовці змусили "Ґуґл" дотримуватися вищого рівня норм безпеки цифрових даних, аніж навіть у США. Тепер для деяких компаній відповідність стандартам нідерландського регулятора слугує ознакою якості в очах урядовців інших країн.
Протягом останніх двох років у "Ґуґл" розробили нові підходи, згідно з якими використання даних школярів та освітян суттєво звужується відповідно до GDPR. Наприкінці цього року компанія планує застосувати ці зміни до своїх клієнтів з освітньої сфери у Нідерландах, а згодом і у всьому світі.
Секрети успіху нідерландців:
- Якісний технічний та юридичний аудит та високий рівень співпраці з самими компаніями. Центральний уряд і освітні інституції провели глибинний аудит ризиків програмних платформ, який резюмує універсальні ризики для усіх країн-членів ЄС. Високий рівень експертизи аудиторів забезпечив створення документа, за допомогою якого можна реально вирішити технічні виклики. Так у Нідерланди не лише аргументовано критикували техгігантів, а й одразу пропонували способи усунути ці ризики.
- Тривалі й інтенсивні тристоронні дискусії між нідерландською Асоціацією освітницьких та дослідницьких інституцій (SURF), нідерландським урядом та техкомпаніями. Зазначимо, що цього не вдалося б досягти без попереднього досвіду системної кооперації нідерландських освітян та урядовців.
- “Не лише батіг, а й морквинка”. Сам по собі процес переговорів та аудиту доволі вартісний для обох сторін процесу, не кажучи про імплементацію складних обмежень. Тож аби виправдати витрачені ресурси в очах компанії, крім погрози заборонити використання продуктів "Ґуґл" у школах, урядовці запропонували і “морквинку” — дозвіл національного регулятора продавати нідерландським освітнім закладам перевірені продукти компанії.
Нідерландський досвід показує, що наявність відповідного законодавства не розв'язує проблему саме по собі, а є цінним інструментом у цьому процесі.
Нідерландці довели, що навіть маленькі ринки можуть тиснути на великі корпорації для захисту своїх громадян, що особливо важливо для України. Адже для українських законодавців гармонізація законодавства у сфері захисту персональних даних із європейськими вимогами лише попереду, а воєнний досвід наочно показав потребу дотримуватися найвищого рівня безпеки користувачів.