然而,尽管公司已经做出了很大努力来遵守这项规定,但许多人觉得他们仍然没有完全理解这项规定对他们的要求。相反,许多组织更加敏锐地意识到,如果他们对数据管理不善或未能妥善保护数据,可能会受到严厉的惩罚。
合规周关注GDPR的执法趋势和到目前为止标准化监管方法的努力,以及未来可能如何回答有关合规和不合规的挥之不去的问题。
一些数据专家将2019年描述为GDPR的“分水岭之年”。根据这项规定,谷歌第一次被处以数百万欧元的罚款,英国航空公司(British Airways)和万豪酒店(Marriott Hotels)收到英国信息专员办公室(ICO)的通知,他们将支付1.83亿GB(2.38亿美元)和9900万GB(1.29亿美元)的巨额罚款,或者说接近这两个数字(尽管这些罚款尚未正式公布)。
当然,2019年的监管活动高于2018年,因为数据保护当局开始着手处理投诉并展开调查。但是,尽管去年的罚款和报告的数据泄露事件可能有所增加,但评论人士普遍认为,根据GDPR做出的处罚没有本来应该的那么严厉-例如,还没有一家公司受到全球营业额4%的整体罚款,几乎没有人预计这种情况会在2020年改变。此外,根据隐私事务(Privacy Affairs)的数据,尽管到目前为止,GDPR总共开出了273笔罚款,罚款总额为153,525,487欧元(1.69亿美元),但罚款的水平差异很大:最高的一笔罚款仍然是法国从2019年1月起对谷歌处以的5000万欧元(5500万美元)的罚款。然而,最低的罚款只有90欧元,或99美元(针对匈牙利一家医院)。欧盟各地的许多罚款都在数百欧元以下-几乎不是许多公司担心的可怕前景。
“对整个欧盟实行单一的GDPR法律的雄心还有很长的路要走。”
CMS律师事务所驻西班牙马德里的律师何塞·路易斯·皮纳尔(JoséLuis Piñar)表示,对欧盟执法记录的审查表明,监管方法可以是多种多样的。皮尼亚尔曾任西班牙数据保护局(西班牙Data Protection Agency)局长。例如,虽然西班牙保持着迄今为止罚款数量最高的纪录,但这些罚款的总金额低于欧洲其他地方。同样,GDPR Execution Tracker的信息指出,尽管捷克共和国和意大利分别开出了类似数量的罚款(分别为13张和11张),但罚款总额截然不同-约为32,175欧元(35,387美元),而不是3940万欧元(4,330万美元)。几个国家-爱沙尼亚、芬兰、列支敦士登、卢森堡和斯洛文尼亚-尚未发布任何GDPR罚款。
今年年初,人们曾希望欧洲数据监管机构的监控和执法方法能够更加协调和标准化,这样企业就可以更清楚地了解数据规则,以及监管机构监管这些规则的意愿。
然而,律师和IT专家普遍认为,监管机构之间在方法和解释方面的差异可能会暂时持续下去。全球数据隐私和网络安全智库信息政策领导中心(Centre For Information Policy Leadership)主席博雅娜·贝拉米(Bojana Bellamy)表示:“我担心,在中期内,我们将继续看到不同的做法,甚至欧盟数据保护监管机构之间的分歧。”此外,各国法院也将采取不同的观点,我们最终将让欧盟法院(它解释欧盟法律,以确保它在所有欧盟国家以相同的方式适用)审议更多的数据保护案件。为整个欧盟制定单一的GDPR法律的雄心还有很长的路要走,“她说。
专家们还一致认为,新冠肺炎的大流行可能也减缓了协调方面的进展,在关键调查停滞不前的同时,罚款可能会被推迟。例如,ICO在4月份表示,它已经推迟了对英航和万豪的罚款,并准备在目前的全球卫生紧急情况继续的同时,在报告和纠正任何数据泄露的方式上给予公司更大的回旋余地。它还暗示,鉴于一些公司财务状况不佳,可能会减少罚款。其他欧盟数据保护机构也采取了类似的措施。5月7日,ICO更进一步,发表声明称,还将暂停对即时竞价和AdTech行业的调查,称其无意“在这个时候对任何行业施加不适当的压力”.。
简而言之,ICO-欧盟最大、资源最充足的数据保护机构之一-默许它不能对许多IT专家和隐私活动人士所说的个人数据滥用的主要领域进行调查。
霍华德·肯尼迪律师事务所(Howard Kennedy)合伙人兼知识产权与商业主管罗伯特·兰兹(Robert Lands)表示:“新冠肺炎改变了世界。”“监管层并没有手软。最有可能推迟大额罚款的因素很简单,那就是该病毒将使监管部门难以完成调查。“。
根据本月早些时候Brave发布的一份报告,一家推广私人浏览器以保护用户数据的科技公司,一半的欧盟数据保护机构的年度预算在500万欧元(550万美元)以下。三个国家-爱沙尼亚、马耳他和塞浦路斯-的预算不到100万欧元(110万美元)。调查还发现,在欧洲28个国家数据保护机构中,只有6个机构拥有10名以上的技术专家(德国、西班牙、法国、英国、爱尔兰和希腊),而7个机构只有2名(或更少)技术专家。
“新冠肺炎改变了世界。监管机构并没有变得软弱。最有可能推迟大额罚款的因素很简单,那就是该病毒将使监管部门难以完成调查。“。
报告说,可用资金的水平影响到执法的质量。因此,它呼吁欧盟委员会(European Commission)进行干预,启动针对欧盟成员国的侵权程序,原因是它们未能向数据保护当局提供足够的预算-甚至在必要时将它们提交给欧洲法院(European Court Of Justice)。它还表示,负责监督成员国如何监督和执行GDPR的欧盟机构欧洲数据保护委员会(EDPB)应该发展一个欧盟部门,以协助各国数据保护当局进行技术调查。
一些专家认为,监管审查的任何放松都可能无意中成为企业要么粗暴对待规则,要么降低合规重要性的信号。
圣飞利浦商会(St Philips Chambers)律师简·萨尔金森(Jane Sarginson)警告称:“总有一种风险是,拖延调查和结果会导致自满,”数据隐私咨询公司DQM GRC董事卡米拉·温洛(Camilla Winlo)表示,“显然存在这样一种危险,即面临艰难时期的组织会将监管机构放松立场的任何迹象解读为减少对数据保护的关注的信号。”
自GDPR生效以来,所有人的目光都集中在爱尔兰数据保护委员会(IDPC)将采取什么早期行动上,因为它是谷歌(Google)、苹果(Apple)、Twitter、微软(Microsoft)和Facebook等全球最大科技公司选择的欧盟监管机构。直到一周前,监管机构似乎还没有什么可吹嘘的。
但时机恰到好处,5月22日-就在该规定两周年前夕-IDPC对该国儿童和家庭机构图斯拉(Tusla)处以第二笔(尚未具体说明)GDPR罚款,就在几天前,爱尔兰对其处以第一笔罚款。
IDPC还利用这一声明大肆宣扬其与大型科技公司(Big Tech)对抗的努力取得的进展-这是欧盟其他数据当局(最引人注目的是德国)和隐私活动人士面临的一个棘手问题,他们抱怨进展缓慢。
欧盟监管机构已向其他欧盟数据保护机构提交了一份关于Twitter自我报告的GDPR违规行为的决定草案,以及一份关于WhatsApp及其与Facebook共享的信息的初步决定草案。IDPC还宣布,它已经完成了对Facebook处理个人数据方式的调查,并补充说,它正在决定将建议什么处罚-如果有的话-并表示,在对Instagram和WhatsApp分别进行调查后,它已经发送了调查报告草案。此外,它指出,欧盟法院对IDPC关于隐私活动家Max Schrems对Facebook的投诉的决定的判决将于7月16日公布。
然而,对于Schrems来说,IDPC的声明太少、太晚了。5月24日,他向所有欧盟数据保护机构、EDPB、欧盟委员会和欧洲议会发出了一封公开信,批评爱尔兰进展缓慢,指出法国的CNIL能够在七个月内单枪匹马地对谷歌处以5000万欧元(5500万美元)的罚款,而两年后,IDPC只完成了针对Instagram和WhatsApp案件的六个步骤中的第一个步骤。他还质疑IDPC作为监管机构的适当性。“GDPR的强大程度取决于其最弱的(数据保护机构),”他说。
爱尔兰的年度预算仅为1690万欧元(1900万美元),负责领导127项与GDPR相关的调查-比欧洲任何其他国家都多。其中约23项是针对大型科技公司的调查,仅Facebook就有11项(7项涉及Facebook的爱尔兰子公司,1项涉及母公司,2项涉及WhatsApp,1项涉及Instagram)。IDPC承认,所有这些调查都还没有完成,最早也不太可能在秋季之前完成。
根据GDPR,跨国公司应该选择他们认为对他们最合适的数据保护机构:对于大多数公司来说,它是总部设在他们欧洲总部所在国家的监管机构。大型科技公司以压倒性优势选择了爱尔兰。根据GDPR--作为其“一站式服务”机制的一部分--指定的数据监管机构将处理针对该公司的所有投诉,即使这些投诉来自其他成员国:例如,西班牙对Twitter的投诉应由IDPC处理。
然而,虽然谷歌的欧洲总部设在爱尔兰,但它的两笔GDPR罚单都是由其他欧盟数据保护机构开出的:法国CNIL在2019年1月对谷歌处以5000万欧元(约合5500万美元)的罚款,瑞典数据保护局在今年3月对其处以7500万瑞典克朗(约合760万美元)的罚款。
在法国的案件中,欧盟数据保护当局决定,该案可以由法国数据监管机构处理,因为爱尔兰监管机构对谷歌的Android操作系统及其服务没有“决策权”。在瑞典的案例中,监管机构表示,它正在对该公司在GDPR生效前未能在2017年实施的退市用户数据采取纠正行动。因此,已经树立了先例,表明大型科技公司(和其他公司)可能会受到多个监管机构的打击,而且可能是同样的侵权行为,无论它们的总部可能设在哪里。
对于爱尔兰对一家大型科技公司处以相当于全球营业额4%的罚款的可能性的预期仍然很低,这将产生第一笔10亿欧元的罚款。爱尔兰素以“轻描淡写”监管行为或执行法规,讨好大公司而闻名--爱尔兰政府对苹果极为慷慨的税收待遇(2014年允许苹果的税率为0.005%,而其他所有公司的标准税率为12.5%),以及不愿接受偿还,就是明证。
批评者(和愤世嫉俗者)指出,爱尔兰作为欧盟主要技术基地的地位在2008年金融危机后帮助拯救了该国经济,在冠状病毒大流行期间仍在继续这样做。福布斯律师事务所(Forbes Solicitor)合伙人兼信息律师丹尼尔·米尔恩斯(Daniel Milnes)表示:“基于营业额的最高罚金将是爱尔兰监管机构的大胆举措,特别是在爱尔兰政府寻求为大型科技公司创建一个受欢迎的欧洲基地的情况下。”
GDPR头两年的大部分焦点都集中在罚款的水平和发放的速度上。但除了惩罚性权力之外,监管还有更多的内容。
数据律师、隐私活动人士和合规专业人士曾希望,几个月来一直在酝酿的一系列GDPR决定,将产生备受追捧的澄清,即哪些数据做法是不可接受的,以及如果组织遭遇违规,哪些内部措施可能有助于避免可怕的最高处罚。然而,许多案件的复杂性,许多数据保护部门稀缺的资源和人员数量,以及新冠肺炎的影响,都阻碍了进展。因此,专家们希望到GDPR成立三周年时,情况会更清晰。
年利达律师事务所(Linklaters)隐私和数据保护业务合伙人兼全球负责人坦吉·范·奥弗斯特莱顿(Tanguy Van Overstraeten)认为,未来在整个欧盟范围内,在制裁、执行和解释GDPR方面,“企业需要确定性和更统一的方法”。他指出,尽管欧盟内部(以及拥有类似数据规则的第三国)之间的协调性日益增强,但他表示,成员国之间在需要父母同意的儿童年龄、网站上使用“cookie”的指导方针以及犯罪记录等广泛问题上“仍存在重大分歧”。
许多律师同意需要更大程度的标准化,但他们承认,这在目前很难实现:例如,欧洲监管机构现在对罚款的计算采用不同的规则,这意味着欧盟成员国之间的处罚几乎没有一致性。
然而,一些人认为,由于即将做出的裁决数量,以及围绕上诉的裁决可能会公布(即使被推迟),欧盟数据保护当局在未来一年解释和执行GDPR的方式将会更加一致。
莫里森·福斯特律师事务所(Morrison&;Foerster)数据保护团队合伙人安娜贝尔·吉勒姆(Annabel Gillham)表示:“随着更多裁决的上诉和上诉裁决的公布,欧盟(数据保护当局)之间的执法方式可能会变得更加一致,这将让人们更加清楚地了解处罚是如何做出的。”
高龄WLG律师事务所(Gowling WLG)数据隐私合伙人海伦·达文波特(Helen Davenport)表示:“根据新法律,案件需要时间调查,如果合适,执法行动也需要时间。”“GDPR也没有什么不同。”
然而,对一些人来说,对罚款的关注是“无关紧要的”,特别是关于大型科技公司的行为。
科技公司Brave首席政策官约翰尼·瑞安(Johnny Ryan)博士表示,解决数据滥用问题的唯一有效方法是禁止滥用行为。因此,到目前为止,他对欧洲许多数据保护机构的有效性持负面看法。
瑞安博士说:“英国的ICO没有设法使其更高的罚款站得住脚,并且已经放弃了大型科技公司的问题。”“两年多来,我揭发了我们的行业在定向广告方面的所作所为,ICO尚未动用任何法定权力来调查这一问题或保护英国人免受其影响。”
“衡量监管机构有效性的唯一真正方法是问一问:‘我们已经制止危害了吗?我们是否已经停止了允许伤害发生的商业模式?我们有没有阻止这些虐待行为再次发生?“。所有这些问题的答案都是否定的。罚款不一定会改变公司的运营方式。迫使公司改变处理和处理数据的方式是唯一的出路。“