Twitter和Facebook上即将出现第一个GDPR重大决定
欧洲许多大型科技的主要数据监管机构正朝着发布其首个跨境GDPR重大决定无情地前进-说今天它已将与Twitter业务有关的决定草案提交给其欧盟其他监管机构进行审查。
爱尔兰数据保护委员会(DPC)在一份声明中表示:“决定草案的重点是Twitter International Company是否符合GDPR的第33(1)和33(5)条。”
欧洲的《通用数据保护条例》于两年前开始实施,是对欧盟长期的数据保护框架,对违反合规性行为处以巨额罚款。更有趣的是,监管机构有权下令停止违反数据的处理。同时,在许多欧盟国家/地区,消费者权益组织等第三方可以代表个人提出投诉。
自从开始应用GDPR以来,已经有成千上万的集团针对大型和小型公司提起投诉,与此同时,由于涉及大型技术的重大跨境案件缺乏执行力的呼声越来越高。
因此,DPC在其Twitter调查中宣布达成一项决定草案的时机可能并非偶然。(GDPR的实际申请周年纪念日为5月25日。)
该决定草案涉及监管机构在社交网络报告数据泄露后于2018年11月发起的一项调查-因为根据GDPR要求数据控制者立即采取行动,否则将面临罚款的风险。
根据GDPR的一站式机制,欧盟其他感兴趣的欧盟监管机构(本例中均为他们)现在将有一个月的时间来考虑该决定,并且如果他们不同意DPC的推理,则提出“合理和相关的异议”。监管机构联络跨境查询。
如果DPA之间在决定上存在分歧,则该法规包含争端解决机制(第65条),该机制在欧洲数据保护委员会(EDPB)中循环产生,以多数为基础做出最终决定。
关于Twitter的决定,DPC告诉我们,希望可以在7月完成。
专员海伦·迪克森(Helen Dixon)此前曾说过,第一个跨境决定将在2020年“提前”做出。但是,通过一站式采购等新程序进行工作的复杂性似乎使欧盟监管机构花费的时间超过了预期。
目前,DPC还处理大量案件,与投诉和/或询问有关的20多项跨境调查仍在等待决策中-积极调查大量技术巨头的数据处理习惯;包括苹果,Facebook,谷歌,Instagram,LinkedIn,Tinder,Verizon(TechCrunch的母公司)和WhatsApp-除了其国内案件量(运营预算大大低于爱尔兰政府要求的预算)。
这些重大跨境咨询的范围也可能使爱尔兰的监管机构陷入困境。
但是-两年过去了-有迹象表明动能有所回升,DPC的副专员Graham Doyle今天指出了跨境调查中另外四次调查的进展-所有这些都与Facebook有关拥有的平台。
其中最远的一步是对这家技术巨头提供的有关其在WhatsApp和Facebook服务之间如何共享用户数据的透明度级别的探讨。
“我们本周已将初步决定草案发送给WhatsApp爱尔兰有限公司提供的材料将由DPC考虑,然后再为第60条的目的准备该事项的决定草案,” Doyle在声明中说。“对爱尔兰WhatsApp的调查会从透明度方面检查其是否符合GDPR第12至14条,包括与Facebook共享哪些信息有关的透明度。”
DPC表示的其他三起案件与欧盟隐私权非营利组织noyb于2018年5月提交的GDPR同意投诉有关。
noyb认为,Facebook使用“强迫同意”策略来继续处理个人的个人数据-欧盟法律要求用户自由选择的标准是标准,除非严格同意必须提供服务。(而且,诺伊布认为,微定向广告并不是提供社交网络服务的核心;例如,可以投放内容相关广告。)
早在2019年1月,谷歌法国的数据监管机构CNIL因类似的投诉而被罚款5700万美元。
DPC在今天的声明中说,它现在已经完成了这个基于投诉的调查的调查阶段,该阶段的重点是“ Facebook Ireland为建立个人数据处理的合法基础而承担的义务”。
它补充说:“现在,DPC的调查处于决策阶段。”
在进一步的相关发展中,它表示已将调查报告草稿发送给了投诉人和有关公司,针对(Facebook拥有的)Instagram的同一组投诉和WhatsApp。
当这些额外查询中的任何一项可能产生最终决定时,Doyle拒绝给出任何明确的时间表。但是大概是最早的时间表。
监管机构的希望似乎是,一旦第一个跨境决策通过GDPR的一站式机制做出,并产生了所有DPA都可以签署的协议,它将为下一批决策铺平道路。
话虽如此,并不是所有的询问和决定都是明确的。DPC在如此引人注目的调查中确切决定的内容,将成为是否与其他数据保护机构有分歧的关键。不同的欧盟DPA在采用欧盟规则时可能会采取强硬立场,有些则“商业友好”要比其他一些要大得多。尽管GDPR旨在缩小应用程序的差异。
如果监管机构之间在重大跨境案件(如Facebook案件)上存在分歧,则GDPR的一站式机制将需要更多时间来达成共识。因此,对该法规的批评者可能仍然有大量的攻击区域。
DPC正在领导的一些查询也可能会设定标准,这可能会对许多平台和数字业务产生重大影响,因此会有既得利益集团寻求影响各方的成果。但是,随着GDPR即将迎来第二个生日-仍然几乎没有从大型技术中脱颖而出的决策形状的混血-执法人员流动的区域性压力很大。
鉴于技术发展的迅猛步伐以及将大型技术应用于压路机个人权利的市场力量,欧盟监管机构必须能够缩小调查与执法之间的差距,或观察其旗舰框架被嘲笑为纸老虎……