Европейские регулирующие органы по защите данных постепенно приблизились к решению о принудительном исполнении Twitter нарушение, которое компания публично раскрыла в 2019 году после того, как большинство надзорных органов ЕС согласились поддержать проект урегулирования, представленный ранее Комиссией по защите данных Ирландии (DPC).
Twitter раскрыл ошибку в своей функции «Защитите свои твиты» в начале прошлого года – заявив в то время, что некоторые пользователи Android, которые применили ее настройки, чтобы сделать свои твиты непубличными, возможно, с тех пор, как их данные были открыты для публичного доступа в Интернет. еще в 2014 году.
В мае 2018 года в Европейском союзе вступил в силу новый режим защиты данных, что означает, что нарушение в 2014-2019 годах подпадает под действие Общего регламента ЕС по защите данных (GDPR).
ЦОД Ирландии является ведущим надзорным органом в этом деле, но трансграничный характер Twitterбизнес означает, что все агентства по защите данных ЕС заинтересованы и имеют возможность высказывать «соответствующие и аргументированные» возражения против проекта. В течение лета были должным образом выдвинуты возражения против проекта решения DPC, что инициировало процесс разрешения споров по трансграничным делам, изложенным в GDPR.
Европейский совет по защите данных (EDPB), орган, который помогает координировать общеевропейскую регулирующую деятельность, заявил сегодня, что принял свое первое решение по статье 65, касающееся механизма урегулирования разногласий между лоскутным одеялом надзорных органов ЕС. Это означает, что по крайней мере две трети большинства DPA ЕС поддержали урегулирование.
«9 ноября 2020 г. EDPB приняла свое обязательное решение и в ближайшее время официально уведомит об этом Ирландское SA», – говорится в заявлении.
Заместитель комиссара Ирландии Грэм Дойл подтвердил, что EDPB проинформировал его о решении по статье 65, но отказался от дальнейших комментариев на данном этапе.
У ЦОД Ирландии теперь есть до месяца, чтобы принять окончательное решение.
«Ирландская СА [supervisory authority] должен принять свое окончательное решение на основе решения EDPB, которое будет адресовано контроллеру без неоправданной задержки и не позднее одного месяца после того, как EDPB уведомит о своем решении », – говорится в заявлении EDPB.
Подробная информация о штрафах Twitter может грозить – например, штраф – еще не подтверждено. Но конец этого процесса уже не за горами.
GDPR возлагает на контролеров данных юридическое обязательство надлежащим образом защищать личные данные. Финансовые штрафы за нарушение рамок могут составлять до 4% от годового глобального оборота компании. (Хотя, в случае с крупными технологиями, крупнейшим на сегодняшний день штрафом GDPR остается штраф в размере 57 млн. $, наложенный на Google французским CNIL.)
В отличие от дела Google, которое CNIL преследовала до того, как Google перенес свою правовую базу из ЕС в Ирландию, Twitter дело является трансграничным и станет первым таким крупным технологическим делом по GDPR, которое будет завершено после принятия окончательного решения.
Флагманское постановление ЕС о защите данных продолжает подвергаться критике из-за того, сколько времени требуется для расследования дел и жалоб и принятия решений, особенно тех, которые связаны с большими технологиями.
В прошлом году ирландский регулирующий орган заявил о том, что его первые трансграничные решения GDPR будут приняты «рано» в 2020 г.. В случае, если его первое решение будет принято до конца 2020 г., но такие темпы вряд ли заставят замолчать критиков, которые утверждают, что регулирующие органы ЕС они не готовы к сложной и ресурсоемкой задаче наблюдения за тем, как крупные технологии обрабатывают данные людей.
В Twitter Дело о нарушении также, вероятно, будет значительно менее сложным, чем некоторые из расследований GDPR на основе жалоб, продолжающихся в отношении крупных технологических платформ, которые включают исследования относительно юридических основ для Facebook для обработки пользовательских данных и того, как обмен рекламой Google использует данные пользователей Интернета. Тем не менее, EDPB все же разрешил полный дополнительный месяц к процессу по статье 65 (вместо одного месяца по умолчанию) из-за того, что он описал как «сложность предмета». Это вряд ли сулит ничего хорошего для более спорных дел.
Тем не менее, разрешение споров по трансграничным делам может привести к большей согласованности и помочь DPA со временем ускорить правоприменение.
ICO Великобритании выглядит в этом отношении немного поучительной историей – недавно кусачки были наложены на огромные предварительные штрафы, о которых было объявлено в паре (не связанных с крупными технологиями GDPR) случаев нарушения данных, что означает, что принудительное исполнение в конечном итоге было как более поздним, так и менее строгим. жгучая, чем казалось вначале.
Несмотря на утверждения критиков о том, что соблюдение GDPR по-прежнему отсутствует там, где оно должно быть жестким, вопрос о том, как эффективно регулировать большие технологии, – это тот, от которого законодатели ЕС не отказываются.
Напротив, Комиссия намерена в следующем месяце представить законодательное предложение, чтобы применить ex ante правила для доминирующих интернет-платформ в рамках планируемого Закона о цифровых рынках. Согласно планам, так называемые «привратники» будут подчиняться списку «что можно и чего нельзя», который должен включать элементы управления тем, как они могут обмениваться данными. Также может появиться толчок к созданию общеевропейского регулятора для наблюдения за основными платформами.
Такой подход мог бы помочь снизить надзорную нагрузку, с которой сталкивается горстка агентств по связям с общественностью ЕС с огромным количеством крупных технологических гигантов, таких как ирландский ЦОД. Но, опять же, впереди, вероятно, придется долго ждать, прежде чем какие-либо новые правила платформы ЕС будут в состоянии эффективно применяться.