Ведущий супервайзер данных для множества технологических гигантов Европейского Союза, включая Apple, Facebook, Google, LinkedIn, TikTok и Twitter, по-прежнему полагается на Lotus Notes для управления жалобами и расследованиями, поданными в соответствии с флагманским Общим регламентом по защите данных (GDPR), в соответствии с запросами о свободе информации, сделанными Ирландским советом по гражданским свободам (ICCL).
Еще в своем годовом отчете за 2016 год Ирландская комиссия по защите данных (DPC) заявила, что одна из ее основных целей по обеспечению готовности к GDPR (и ePrivacy) включала «внедрение нового веб-сайта и системы управления делами» к моменту вступления закона в силу в мае. 2018. Тем не менее, спустя пять лет этот проект модернизации ИТЦ все еще находится в стадии разработки, как показывают ответы на запросы ICCL.
Сроки реализации проектов неоднократно срывались, согласно внутренним документам, которые теперь находятся в открытом доступе, в то время как к октябрю 2020 года стоимость модернизации ИКТ DPC увеличилась более чем вдвое по сравнению с первоначальным прогнозом – поднявшись как минимум до 615 121 евро (цифра, которая не включает время, затраченное сотрудниками на проект с 2016 года; а также не включает расходы на поддержку устаревшей системы Lotus Notes, которые несет Министерство юстиции ирландского правительства).
Открытие того, что ведущий супервайзер данных для большей части крупных технологий в Европе обрабатывает жалобы с использованием такого программного обеспечения «последнего поколения», не только выглядит очень неудобным для ЦОД, но и вызывает вопросы по поводу эффективности его высшего руководства.
DPC продолжает сталкиваться с критикой по поводу медленных темпов соблюдения нормативных требований в отношении крупных технологий, что в сочетании с механизмом единого окна GDPR привело к огромному накоплению дел, которые, по мнению Европейской комиссии, являются слабостью Положения. Так что откровение о том, что на то, чтобы привести свой собственный ITC в порядок, так долго, только усилит критику о том, что регулирующий орган не подходит для этой цели.
Более широкая проблема здесь – это огромная пропасть в ресурсах и техническом опыте между технологическими гигантами, многие из которых собирают огромную прибыль с данных людей, которые они могут использовать для оплаты армий штатных юристов, чтобы защитить их от риска регулятивное вмешательство в отличие от крошечных государственных учреждений с ограниченными ресурсами, которым поручено защищать права пользователей – без соответствующих современных инструментов, которые помогли бы им выполнять эту работу.
В случае с Ирландией, однако, время, затрачиваемое на перестройку ее внутренних ИКТ, действительно проливает свет на управление ресурсами. Не в последнюю очередь потому, что бюджет и численность персонала DPC растут примерно с 2015 года, так как ему было выделено больше ресурсов, чтобы отразить вступление в силу GDPR.
ICCL призывает правительство Ирландии рассмотреть вопрос о найме двух дополнительных уполномоченных – в дополнение к нынешнему (единственному) уполномоченному Хелен Диксон, которая была назначена на эту должность еще в 2014 году.
Он отмечает, что ирландское законодательство допускает возможность иметь трех уполномоченных.
«Люди, которые должны следить за тем, чтобы Facebook и Google не злоупотребляли имеющейся у них информацией о каждом из нас, используют систему настолько устаревшую, что один из бывших сотрудников сказал мне, что это« все равно, что пытаться использовать счеты, чтобы делать платежная ведомость », – сказал TechCrunch доктор Джонни Райан, старший научный сотрудник ICCL.
ЦОД не настроен для выполнения своей цифровой миссии », – добавил он в заявлении. «То, что мы обнаружили, указывает на то, что компания не может выполнять критически важные внутренние технологические проекты. Как можно ожидать отслеживания того, что крупнейшие мировые технологические компании делают с нашими данными? Это вызывает серьезные вопросы не только у ЦОД, но и у правительства Ирландии. Мы предупредили правительство Ирландии о стратегическом экономическом риске, связанном с неспособностью обеспечить соблюдение GDPR ».
Получив комментарий, DPC сообщил нам, что у него есть «функциональная и соответствующая назначению »Система управления делами, которая, по ее словам, была« оптимизирована новыми функциями за последние несколько лет (в том числе с возможностью генерации статистики и управленческих отчетов) ».
Но он признал, что система «устарела» и «ограничена» с точки зрения того, насколько она может быть адаптирована для интеграции с новым веб-сайтом ЦОД, веб-формами и IMI. [information systems management] общая платформа, используемая органами по защите данных ЕС – учитывая, что она основана на технологии Lotus Notes.
«Значительная работа по определению системы и построению ее основных модулей была завершена», – сказал депутат комиссии Грэм Дойл. «Некоторые задержки в доставке произошли из-за обновлений в спецификации элементов безопасности и инфраструктуры. Некоторые другие элементы были замедлены по запросу со стороны DPC, чтобы разрешить между DPA ЕС окончательные запланированные процессы, такие как те, которые задействованы в механизме сотрудничества и согласованности в соответствии со статьей 60 в рамках GDPR.
«EDPB [European Data Protection Board] только сейчас готовит внутреннее руководство по введению в действие статьи 60 и далее по механизму разрешения споров в соответствии со статьей 65. Это ключевые особенности работы между DPA ЕС, которая требует переключения между системами. Кроме того, ЕС спустя почти 3 года после того, как намеревался это сделать, еще не принял свое новое законодательство об электронной конфиденциальности. Кроме того, DPC вместе со всеми другими DPA ЕС изучает, как должны действовать процедурные и операционные аспекты GDPR, и некоторые из них еще предстоит урегулировать ».
Дойл добавил, что «прогресс продолжается» в отношении инвестиций в новую систему управления делами – заявив, что DPC намерен развернуть «начальные базовые модули» новой системы во втором квартале 2021 года.
На сегодняшний день регулирующий орган Ирландии вынес только одно решение, касающееся трансграничной жалобы GDPR: в декабре, когда он оштрафовал Twitter 550 тысяч долларов за нарушение безопасности, о котором компания публично сообщила в январе 2019 года.
Разногласия между Ирландией и другими DPA ЕС по поводу ее первоначального предложения о принудительном исполнении добавили еще несколько месяцев к процессу принятия решения – и, наконец, DPC был вынужден увеличить предлагаемый штраф до нескольких тысяч евро после большинства голосов.
В Twitter Дело не было гладким, но на самом деле оно представляет собой относительно быстрый поворот по сравнению с более чем семи с лишним лет, которые были связаны с отдельной жалобой (2013 г.) (также известной как Schrems II), связанной с международной передачей данных Facebook, которая предшествовала GDPR.
С этой жалобой DPC предпочел обратиться в суд, чтобы выразить озабоченность по поводу законности самого механизма передачи данных, вместо того, чтобы принимать меры по конкретной жалобе на использование Facebook Стандартных договорных условий. Последовало обращение в Европейский суд, и в конечном итоге суд высшей инстанции ЕС сорвал флагманский механизм передачи данных между ЕС и США.
Несмотря на юридические проблемы, приведшие к отмене программы Privacy Shield между ЕС и США, DPC до сих пор не отключил переводы Facebook в ЕС. Хотя в сентябре прошлого года он издал предварительный приказ о приостановке, который Facebook немедленно оспорил (и временно заблокировал) в судебном порядке.
В прошлом году DPC урегулировал встречный судебный пересмотр своих процедур, инициированный первоначальным заявителем, согласившись быстро завершить рассмотрение жалобы – хотя решение еще, вероятно, ожидается через несколько месяцев. Но должно наконец наступить в этом году.
DPC защищает себя от обвинений в медлительности принуждения, заявляя, что он должен соблюдать надлежащие процедуры, чтобы гарантировать, что его решения выдержат юридический оспаривание.
Но по мере того, как критика в адрес этого подразделения продолжает расти, становится очевидным, что его собственное флагманское внутреннее обновление ИКТ затягивается примерно через пять лет после того, как оно было объявлено приоритетным для DPC, не поможет заставить критиков замолчать.
На прошлой неделе комитет по гражданским свободам парламента ЕС опубликовал проект ходатайства, призывающий Комиссию начать судебное разбирательство в отношении Ирландии «за ненадлежащее соблюдение GDPR».
В заявлении говорится о «глубокой обеспокоенности» тем, что ЦОД Ирландии еще не рассмотрел несколько жалоб на нарушение GDPR, несмотря на то, что GDPR вступил в силу в мае 2018 года.
Комитет LIBE также отметил дело о передаче Schrems II в Facebook, написав, что он касается этого дела »был начат Комиссаром Ирландии по защите данных, вместо этого приняв решение в рамках своих полномочий в соответствии со статьей 58 GDPR ».
Также примечательно, что последние планы Комиссии по обновлению общеевропейских правил платформ – Закона о цифровых услугах и Закона о цифровых рынках – предполагают устранение риска возникновения узких мест в правоприменительной практике, предлагая осуществлять ключевые правоприменительные меры в отношении крупнейших платформ собственными силами. чтобы избежать риска того, что какое-либо отдельное учреждение государства-члена будет препятствовать трансграничному обеспечению соблюдения прав европейских граждан на данные, как это продолжает происходить с GDPR.
Еще одна причуда в отношении ирландского DPC заключается в том, что на это подразделение распространяется не весь спектр закона о свободе информации. Вместо этого закон применяется только в отношении записей, касающихся «общего управления Комиссией». Это означает, что его «надзорные, регулирующие, консультационные функции, функции рассмотрения жалоб или расследования (включая файлы дел) не подлежат передаче в соответствии с Законом», как отмечается на его веб-сайте.
Запросы о свободе информации, поданные TechCrunch в прошлом году, с вопросом о том, сколько раз он использовал полномочия GDPR для введения временного или абсолютного запрета на обработку данных, были отклонены регулирующим органом на этих основаниях.
Его отказ раскрыть информацию о том, обращался ли он когда-либо к нарушителю с просьбой прекратить обработку личных данных, ссылаясь на частичное покрытие закона о свободе информации, при этом регулирующий орган заявил, что «общее управление» относится только к «записям, которые имеют отношение к управлению свободой информации. такой орган, как записи, относящиеся к персоналу, вопросам оплаты, найму, счетам, информационным технологиям, жилью, внутренней организации, офисным процедурам и тому подобное ».
Хотя закон Ирландии о свободе информации не позволяет более внимательно изучить деятельность DPC, данные агентства говорят сами за себя.