欧盟大多数大型技术的首席数据主管仍在使用Lotus Notes

2021-02-09 21:07:23

爱尔兰数据保护委员会(DPC)在其2016年年度报告中表示,其为GDPR(和电子隐私)准备就绪的主要目标之一包括及时“实施新网站和案件管理系统”,以便该法规于5月生效。 2018年。然而,ICC的FOI回应显示,五年后,ITC升级项目仍在进行中。

爱尔兰数据保护委员会的工作人员使用Lotus Notes对世界上最大的科技公司进行调查。 ICCL @ICCLtweet的调查显示,为了使@DPCIreland能够执行GDPR,主要ICT检修已延迟了数年。 https://t.co/4iN1xKi8nR

现在每个公文中的内部文件都多次错过了项目截止日期,而到2020年10月,DPC的ICT升级成本比最初的预计高出一倍多,激增至至少615,121欧元(这个数字不包括员工花费的时间)该项目自2016年起开始实施;并且不包括由爱尔兰政府司法部承担的过时Lotus Notes系统维护成本。

欧洲许多大型科技公司的首席数据主管正在使用这种“最新世代”软件处理投诉的消息,不仅使DPC感到非常尴尬,而且也引起了对其高级管理层有效性的质疑。

DPC继续面对针对大型技术的法规执行步伐缓慢的批评,再加上GDPR的一站式机制,导致大量积压的案件,欧洲委员会认为这是一个弱点该法规。因此,有消息说要花费很长的时间才能拥有自己的ITC,只会激起批评者,即监管机构不符合目的。

这里更广泛的问题是技术巨头之间巨大的资源和技术专长鸿沟,其中许多正在从人们的数据中获取巨大的利润,这些数据可用于支付内部律师的费用,以保护他们免受风险的侵害。监管干预与资源匮乏的微型公共部门机构(负责捍卫用户的权利)相比,没有适当的现代化工具来帮助他们完成工作。

不过,就爱尔兰而言,彻底检查其内部ICT所花费的时间确实使资源管理成为人们关注的焦点。尤其是因为DPC的预算和人员自2015年左右以来一直在增长,因为已分配更多的资源来反映GDPR的应用。

ICCL呼吁爱尔兰政府考虑增加两名专员,以补充现任(唯一)专员海伦·迪克森(Helen Dixon)的职责,后者于2014年被任命为该职位。

“那些应该确保Facebook和Google不会滥用他们关于我们每个人的信息的人们正在使用一个过时的系统,以至于一位前工作人员告诉我,这就像在尝试使用算盘做事一样。薪资”,ICCL高级研究员Johnny Ryan博士对TechCrunch说。

DPC未配置为执行数字任务。 “我们发现的结果表明它不能运行至关重要的内部技术项目。如何期望监控全球最大的科技公司对我们数据的处理?这不仅对DPC,而且对爱尔兰政府都提出了严重的问题。我们已经警告爱尔兰政府,由于未能执行GDPR而带来的战略经济风险。”

征求意见稿后,DPC告诉我们它拥有一个“功能齐全且用途明确的”案件管理系统,据称,该系统“在最近几年中已进行了新功能优化(包括具有生成统计数据和管理数据的功能)报告)”。

但是它承认该系统在适应与新的DPC网站和Web表单以及欧盟数据保护机构之间使用的IMI [信息系统管理]共享平台的集成量方面是“过时的”和“有限的”。它基于Lotus Notes技术。

副委员会Graham Doyle说:“指定系统和构建其核心模块的重要工作已经完成。” “由于更新了安全性和基础架构元素的规范,交付出现了一些延迟。为了允许欧盟DPA之间解决最终预期流程(例如GDPR第60条合作与一致性机制所涉及的流程),DPC要求降低的其他一些要素已经放慢了脚步。

“ EDPB(欧洲数据保护委员会)现在仅在准备有关第60条的实施以及有关第65条下的争端解决机制的内部指南。这些是欧盟DPA之间工作的关键特征,需要系统之间的交接。此外,欧盟打算在将近三年后仍未通过新的电子隐私立法。此外,DPC与所有其他欧盟DPA一起正在学习GDPR的程序和操作方面将如何进行详细的操作,其中一些仍有待解决。”

Doyle补充说,新的案例管理系统投资的“进展仍在继续”-表示DPC打算在2021年第二季度推出新系统的“初始核心模块”。

迄今为止,爱尔兰的监管机构仅发布了一项关于跨境GDPR投诉的决定:12月,爱尔兰因公司在2019年1月公开披露的一项安全漏洞而对Twitter处以55万美元的罚款。

爱尔兰与其他欧盟DPA在最初的执行建议上存在分歧,这增加了数月的决策程序-在多数表决之后,DPC最终被迫将其建议的罚款提高至几千欧元。

Twitter的案例很难顺利进行,但与单独(2013年)投诉(又名Schrems II)涉案的七年以上相比,实际上这是一个相对较快的转变-该投诉与Facebook的GDPR之前的国际数据传输有关。

对于该投诉,DPC选择向法院提起对数据传输机制本身合法性的担忧,而不是针对Facebook使用标准合同条款的特定投诉采取行动。随后转交给了欧洲法院,欧盟最高法院最终以鱼雷破坏了欧盟和美国之间的一项旗舰数据传输安排。

尽管DPC面临法律上的挑战,导致其被取消了欧美隐私保护盾,但DPC仍然没有取消Facebook的欧盟转移支付。尽管去年9月,它确实发布了初步的停职命令-Facebook立即通过司法审查提出质疑(并暂时阻止)。

去年,DPC解决了由原投诉人提起的对其程序的反司法审查,同意迅速完成投诉-尽管仍可能要几个月才能做出决定。但是今年应该终于来了。

DPC辩称自己必须遵循正当程序以确保其决定能够抵御法律挑战,从而捍卫自己免受执法拖累的指责。

但是,随着人们对该部门的批评不断增多,有消息称其被称为DPC优先事项后,其自身的旗舰内部ICT升级正在拖延约五年之久,这无济于事。

上周,欧盟议会的公民自由委员会发布了一项议案草案,呼吁欧盟委员会开始针对爱尔兰的侵权诉讼,理由是“未适当执行GDPR”。

它在声明中表示“深切关注”,尽管GDPR于2018年5月开始实施,但爱尔兰DPC尚未就几起违反GDPR的投诉做出裁决。

LIBE委员会还标记了Schrems II Facebook移交案-表示担心此案“由爱尔兰数据保护专员发起,而不是根据GDPR第58条在其权限范围内做出决定”。

还值得注意的是,欧盟委员会最新的更新泛欧盟平台法规的计划(《数字服务法》和《数字市场法》)建议通过将针对最大平台的主要执法活动引入内部,来规避实施瓶颈的风险。避免GDPR继续发生的任何单一会员国机构阻碍欧洲公民数据权利的跨境执行的风险。

关于爱尔兰DPC的另一个怪癖是该部门不受所有信息自由法的约束。取而代之的是,该法律仅适用于有关“委员会一般管理”的记录。这意味着,如其网站上所述,其“监督,管理,咨询,投诉处理或调查功能(包括案件档案)不可释放”。

监管机构基于这些理由拒绝了TechCrunch去年提出的信息自由要求,询问DPC多少次使用GDPR权力对数据处理施加了临时或绝对禁止。 拒绝透露是否曾要求侵权实体停止处理个人数据的事实援引了FOI法律的部分内容,监管机构称“一般管理”仅指“与FOI管理有关的记录 机构,例如涉及人员,薪资,招聘,账目,信息技术,住宿,内部组织,办公程序等的记录”。 尽管爱尔兰的FOI法令无法对DPC的活动进行更严格的审查,但该机构的执法记录不言而喻。