Новый отчет европейской зонтичной группы по защите прав потребителей Beuc, отражающий препятствия на пути эффективного трансграничного правоприменения флагманской системы защиты данных ЕС, делает неудобным чтение для региональных законодателей и регулирующих органов, поскольку они стремятся сформировать следующие десятилетия цифрового надзора за всей блок.
Члены Beuc подали серию жалоб на использование Google данных о местоположении в ноябре 2018 года, но спустя два года после того, как они высказали обеспокоенность по поводу конфиденциальности, претензии так и не были урегулированы.
Технический гигант продолжает получать миллиарды доходов от рекламы, в том числе за счет обработки и монетизации данных о местоположении пользователей Интернета. Его ведущий надзорный орган по защите данных в соответствии с GDPR Механизм единого окна для рассмотрения трансграничных жалоб, Ирландская комиссия по защите данных (DPC), наконец, в феврале этого года, наконец, начала расследование.
Но могут пройти годы, прежде чем Google столкнется с какими-либо нормативными актами в Европе, связанными с отслеживанием местоположения.
Это потому, что ирландский ЦОД еще не выпустил любой трансграничные решения GDPR, примерно через 2,5 года после того, как правила начали применяться. (Хотя, как мы недавно сообщали, случай, связанный с Twitter нарушение данных постепенно приближается к результату в ближайшие дни.)
В отличие от этого, французская служба контроля данных, CNIL, смогла завершить расследование GDPR в отношении прозрачности обработки данных Google в гораздо более быстром порядке в прошлом году.
Этим летом французские суды также подтвердили наложенный им штраф в размере 57 миллионов $, отклонив апелляцию Google.
Но дело предшествовало переходу Google под юрисдикцию DPC. Регулирующему органу Ирландии приходится иметь дело с непропорционально большим количеством транснациональных технологических компаний, учитывая, сколько из них основало свою базу в ЕС в стране.
У DPC имеется большое количество нерассмотренных трансграничных дел: более 20 проверок GDPR с участием ряда технологических компаний, включая Apple, Facebook / WhatsApp и LinkedIn. (С 2019 года компания Google также находится под следствием в Ирландии по поводу ее рекламных технологий.)
На этой неделе комиссар ЕС по интернет-рынку Тьерри Бретон заявил о том, что региональные законодатели хорошо осведомлены о «узких местах» правоприменения в Общем регламенте защиты данных (GDPR).
Он предположил, что Комиссия извлек уроки из этого трения – заявив, что это гарантирует, что аналогичные опасения не повлияют на будущую работу над нормативным предложением, касающимся повторного использования данных, о котором он говорил публично.
Комиссия хочет создать стандартные условия для повторного использования промышленных данных с соблюдением прав человека в ЕС посредством нового Закона об управлении данными (DGA), который предлагает аналогичные механизмы надзора, которые используются в надзоре ЕС за персональными данными, включая национальные агентства, контролирующие соблюдение и централизованный руководящий орган ЕС (который они планируют назвать Европейским советом по инновациям в данных как зеркальное отражение Европейского совета по защите данных).
Амбициозная программа Комиссии по обновлению и расширению системы цифровых правил ЕС означает, что критика GDPR может ослабить блеск DGA до того, как высохнут чернила на документе с предложением. давление на законодателей с целью найти творческие способы разблокировать «узкое место» соблюдения GDPR. (Креативный, поскольку национальные агентства несут ответственность за повседневный надзор, а государства-члены несут ответственность за обеспечение ресурсов DPA.)
В ходе первоначального обзора GDPR этим летом Комиссия похвалила регулирование как «современный и горизонтальный законодательный акт» и «глобальную точку отсчета», заявив, что он послужил источником вдохновения для калифорнийского CCPA и других развивающихся структур цифровой конфиденциальности вокруг Мир.
Но они также признали, что соблюдение GDPR отсутствует.
Наилучшим ответом на эту озабоченность «будет решение ирландского органа по защите данных по важным делам», – заявил в июне комиссар ЕС по юстиции Дидье Рейндерс.
Спустя пять месяцев граждане Европы все еще ждут.
Отчет Бёка – так он называется Долгий и извилистый путь: два года GDPR: трансграничная защита данных с точки зрения потребителя – подробно описывает процедурные препятствия, с которыми его организации-члены столкнулись при попытке получить решение по первоначальным жалобам, которые были поданы в различные DPA по всему ЕС.
Это включает опасения по поводу того, что ирландский ЦОД делает ненужные «проверки информации и допустимости»; а также отклонение жалоб, поданных заинтересованной организацией на том основании, что у них нет полномочий по ирландскому законодательству, поскольку это не позволяет третьей стороне возмещение ущерба (тем не менее, голландская организация потребителей подала жалобу в соответствии с законодательством Нидерландов, что…).
В отчете также спрашивается, почему DPC решил открыть собственное расследование деятельности Google с данными о местоположении (а не расследование на основе жалоб), что, по словам Бёка, может привести к дальнейшей задержке принятия решения по самим жалобам.
Он также указывает, что расследование DPC в отношении Google рассматривает только активность с февраля 2020 г., а не с ноября 2018 года, когда были поданы претензии, – это означает, что отсутствует часть обработки данных о местоположении Google, которая еще даже не расследуется.
Он отмечает, что три его членские организации, участвовавшие в жалобах на Google, рассматривали возможность подачи заявки на судебный пересмотр решения DPC (NB: другие прибегали к этому пути), но они решили не продолжать отчасти из-за значительных судебных издержек. повлекло бы за собой.
В отчете также указывается на неотъемлемый дисбаланс механизма единого окна GDPR, который переносит рассмотрение жалоб в места расположения компаний, в отношении которых ведется расследование, – аргументируя это тем, что они извлекают выгоду из «более легкого доступа к правосудию» (по сравнению с обычным потребителем, который сталкивается с судебным разбирательством в другой стране и (вероятно) на другом языке).
«Если ведущий орган находится в стране с традициями« общего права », такой как Ирландия, все может стать еще более сложным и дорогостоящим», – отмечается в отчете Бека.
Еще одна проблема, которую он поднимает, – это общая претензия на нарушение прав, которая должна бороться с тем, что она называет «движущейся мишенью» – учитывая, что технологические компании с хорошими ресурсами могут использовать нормативные задержки для (поверхностного) корректировки практики, смазывая продолжающиеся злоупотребления вводящими в заблуждение PR-кампаниями. (В чем-то Бек обвиняет Google.)
В заключении говорится, что DPA должны «адаптировать свой правоприменительный подход для более быстрого и прямого вмешательства».
«Прошло более двух лет с момента вступления в силу GDPR, теперь мы достигли поворотного момента. GDPR должен, наконец, показать свою силу и стать катализатором срочно необходимых изменений в деловой практике », – продолжает Бек в резюме своих рекомендаций. «Опыт наших членов и других организаций гражданского общества показывает ряд препятствий, которые существенно мешают эффективному применению GDPR и правильному функционированию его системы обеспечения соблюдения.
«BEUC рекомендует соответствующим органам ЕС и национальным властям предпринять всесторонние и совместные усилия для обеспечения быстрого соблюдения правил и улучшения положения субъектов данных и представляющих их организаций, особенно в рамках трансграничных правоприменительных дел ».
Мы обратились в Комиссию и Ирландский ЦОД с вопросами об отчете. Но на момент написания ни один из них не ответил. Мы также попросили Google дать комментарий.
Ранее Бек отправил в Комиссию список из восьми рекомендаций по «эффективному» обеспечению соблюдения GDPR.