Первые важные решения GDPR нависают над Twitter и фейсбук

Ведущий регулятор данных по большей части крупных технологий в Европе неумолимо движется к принятию своего первого важного трансграничного решения о ВВПР – заявив, что сегодня он представил проект решения, касающийся Бизнес для своих коллег-сторожевых псов ЕС для обзора.

«В проекте решения основное внимание уделяется Twitter Международная компания выполнила статьи 33 (1) и 33 (5) », – говорится в заявлении Ирландской комиссии по защите данных (DPC).

Общее европейское постановление о защите данных вступило в силу два года назад, как обновление Европейского союза. давно существующая структура защиты данных, которая требует больших штрафов за нарушение нормативных требований. Что еще интереснее, регуляторы имеют право распоряжаться тем, что нарушение обработки данных прекращается. Хотя во многих странах ЕС третьи стороны, такие как группы по защите прав потребителей, могут подавать претензии от имени отдельных лиц.

С тех пор как начали применяться GDPR, тысячи жалоб, поданных по всему блоку, ориентированные на крупные компании и маленький – рядом с восходящий шум вокруг отсутствия правоприменения в крупных международных делах, связанных с крупными технологиями.

Таким образом, сроки объявления DPC о достижении проекта решения в его Twitter Зонд, скорее всего, не случайно. (Фактическая годовщина подачи заявки GDPR – 25 мая.)



Проект решения связан с расследованием, которое регулирующий орган инициировал в ноябре 2018 года, после того, как социальная сеть сообщила о нарушении данных – поскольку контролеры данных должны оперативно выполнять свои действия в рамках GDPR, рискуя штрафами, если они этого не сделают.

Другие заинтересованные сторожевые псы ЕС (все они в этом случае) теперь будут иметь один месяц, чтобы рассмотреть это решение – и подать «обоснованные и соответствующие возражения», если они не согласятся с доводами ЦОД, в соответствии с механизмом единого окна ГДПР, который позволяет ЕС Регуляторы будут поддерживать связь по трансграничным запросам.

В случаях, когда между DPA существуют разногласия по поводу решения, в регламенте содержится механизм разрешения споров (статья 65), который зацикливается на Европейском совете по защите данных (EDPB) для принятия окончательного решения на основе большинства.

На Twitter Решение, DPC сказал нам, что мы надеемся, что это может быть завершено в июле.

Комиссар Хелен Диксон Ранее уже говорилось, что первые трансграничные решения будут приняты «рано» в 2020 г.. Однако сложность проработки новых процессов, таких как «единое окно», кажется, потребовала от регуляторов ЕС дольше, чем ожидалось.

DPC также имеет дело с огромной нагрузкой по делу на данный момент: более 20 международных расследований, связанных с жалобами и / или запросами, все еще ожидающими решения, – с активными исследованиями привычек обработки данных большого числа технических гигантов; включая Apple, Facebook, Google, Instagram, LinkedIn, Tinder, Verizon (материнская компания TechCrunch) и WhatsApp – в дополнение к внутренней загрузке (работа с бюджетом, значительно меньшим, чем запрашивало правительство Ирландии).

Масштаб некоторых из этих крупных международных расследований, возможно, также застопорил ирландский регулятор.

Но – два года спустя – есть признаки нарастания импульса, когда заместитель комиссара ЦОД Грэм Дойл указал сегодня на события по четырем дополнительным расследованиям из трансграничной кучи – все это касается Facebook собственные платформы.

Дальнейший из них – это исследование уровня прозрачности, который технический гигант предоставляет о том, как Пользовательские данные передаются между сервисами WhatsApp и Facebook.

«WНа этой неделе мы направили предварительный проект решения в WhatsApp Ireland Limited для их представлений, которые будут приняты во внимание DPC до подготовки проекта решения по этому вопросу также для целей статьи 60 », – сказал Дойл в своем заявлении по этому поводу. «В исследовании WhatsApp Ireland проверяется его соответствие статьям 12–14 GDPR с точки зрения прозрачности, в том числе в отношении прозрачности в отношении того, какая информация передается в Facebook».

В трех других случаях DPC заявил о том, что добивается прогресса вподать жалобу на согласие GDPR в Май 2018 года права на неприкосновенность частной жизни ЕС некоммерческая, Нойб,

noyb утверждает, что Facebook использует стратегию «принудительного согласия» для продолжения обработки персональных данных людей – когда стандарт, требуемый законодательством ЕС, предусматривает предоставление пользователям свободного выбора, если согласие не является строго необходимым для предоставления услуги. (И noyb утверждает, что микротаргетированная реклама не является основной для предоставления услуг социальных сетей; вместо этого, например, можно показывать контекстную рекламу.)

Еще в январе 2019 года, Google Французская служба по надзору за данными CNIL оштрафовала на 57 миллионов $ США за аналогичную жалобу.

В своем сегодняшнем заявлении DPC заявил о том, что он завершил этап расследования этого расследования, основанного на жалобах, и, по его словам, сфокусировано на «обязательствах Facebook Ирландии по созданию законной основы для обработки персональных данных».

«Этот запрос сейчас находится на этапе принятия решений в ЦОД», – добавил он.

В дальнейших связанных событиях это сказало, что• составить отчеты о расследовании для заявителей и заинтересованных компаний по одному и тому же набору жалоб для (принадлежащих Facebook) Instagram и WhatsApp.

Дойл отказался назвать точные сроки, когда любое из этих дополнительных расследований может привести к окончательному решению. Но летнее свидание, по-видимому, будет самым ранним возможным периодом.

Регуляторный орган надеется, что, как только первое трансграничное решение будет принято через механизм единого окна GDPR – и даст то, на что могут подписаться все DPA, – это смазывает пути для следующего транша решений.

Тем не менее, не все запросы и решения равны четко. И что именно DPC решит в таких громких исследованиях, будет иметь ключевое значение для разногласий со стороны других агентств по защите данных. Различные DPA ЕС могут занимать более жесткую или более мягкую позицию при применении правил блока, причем некоторые из них значительно более «дружественные для бизнеса», чем другие. Хотя GDPR должен был попытаться сократить различия в применении.

Если у регулирующих органов есть разногласия по таким крупным трансграничным делам, как, например, по делу Facebook, механизму единого окна GDPR потребуется больше времени для работы, чтобы найти консенсус. Таким образом, критики регулирования, скорее всего, еще будут иметь достаточно места для атаки.

Некоторые из запросов, которые проводит DPC, также могут устанавливать стандарты, которые могут иметь серьезные последствия для многих платформ и цифрового бизнеса, поэтому будут заинтересованные стороны, стремящиеся повлиять на результаты со всех сторон. Но в связи с тем, что GDPR приближается ко второму дню рождения – и, тем не менее, вряд ли какие-то комочки, связанные с принятием решений, взяты из больших технологий, – региональное давление для обеспечения исполнения принудительных мер огромно.

Принимая во внимание стремительный темп технологических разработок – и мощь рынка больших технологий, применяемых для защиты прав человека на каток – регуляторы ЕС должны быть в состоянии сократить разрыв между расследованием и правоприменением или наблюдать за тем, как их флагманская структура выглядит как бумажный тигр …

Шремс II

Лето также готовится стать интересным временем для наблюдателей за конфиденциальностью по другой причине: знаменательное решение, вынесенное 16 июля верховным судом Европы по так называемому делу «Шремс II» (названо в честь австрийского адвоката, борца за права на конфиденциальность и noyb). основатель Макс Шремс (Макс Шремс, который подал первоначальную жалобу), который связан с законностью Стандартных договорных положений (SCC) как механизма передачи персональных данных из ЕС.

Сегодняшнее заявление DPC подчеркивает это надвигающееся решение, когда регулятор пишет:Дело касается разбирательства, инициированного и продолженного в Высоком суде Ирландии DPC, что поставило ряд важных вопросов о регулировании международной передачи данных в соответствии с законодательством ЕС о защите данных. Предполагается, что решение СЕС, основанное на ссылке, сделанной в ходе этих разбирательств, внесет столь необходимую ясность в аспекты закона и станет важной вехой в законе о международных переводах ».

В юридическом заключении, выпущенном в конце прошлого года влиятельным советником суда, подчеркивалось, что органы ЕС по защите данных обязаны вмешаться и приостановить передачу данных ГТК, если они используются для отправки данных граждан в место, где их информация не может быть должным образом защищена.

Если суд согласится с такой точкой зрения, все DPA ЕС будут обязаны рассматривать законность переводов SCC в США «в каждом конкретном случае», согласно Дойлу.

«В каждом отдельном случае вам нужно будет пойти и посмотреть на обстоятельства в каждом отдельном случае, чтобы вынести решение, предписывать ли им прекратить это делать. Там не будет только один размер подходит всем », сказал он TechCrunch. «Это чрезвычайно важное решение».

(Если вам интересно узнать «Шремс I», прочтите это с 2015 года.)