GDPR面临着欧洲的生长痛苦
欧洲国家的一般数据保护规定(GDPR)的实施远非同质 - 如果大型跨国公司因企业对GDPR的不同立场陷入其在建立总部的决定中,那就并不奇怪。
更重要的是,欧洲联盟(欧盟)几乎没有做准备从中国到来的技术的即将到来的Tsunami,这是一个隐私文化与欧盟相比世界的国家。
截至2019年5月25日,签发了GDPR,5600万欧元的罚款的第一周年 - €500万是法国谷歌强加的单一罚款。
在制裁方面,法国已经到目前为止飙升。CNIL是CNIL,法国数据保护机构(DPA),优惠谷歌50百万欧元,但它也被罚款Bouygues电信250,000欧元,优步400,000欧元,Dailymotion€50,000欧元,光学中心€250,000。
欧洲国家已明确展示了对处罚的不同战略。此外,他们已经建立了实施法规的不同结构。例如,在德国,DPA在德国州立一级组织 - 但在联邦一级也有一个单独的DPA,涉及电信和邮政服务公司的管辖权。结果是德国有17个数据保护机构,而不是一个。
欧洲国家不同意的另一个领域是他们对GDPR一些更精细点的解释。例如,奥地利的DPA统治说,所有数据控制器都必须响应数据删除请求是为了删除对该数据的异化引用。
各国还表明了如何计算如何计算罚款的意见差异。例如,德国的一些当地法律当局认为,该国征收的GDPR罚款应根据德国法律计算,这将导致低于欧洲水平的罚款。
也许不同国家解释的最重要的差异在于确定谁征收 - 而且最终收集 - 罚款。当法国的CNIL在谷歌发出额外罚款50亿欧元时,它围绕着GDPR的一站式商店规则达到了一项稳定的,说明一家公司将在汇集其总部的国家罚款 - 在谷歌的案例中,爱尔兰。
CNIL辩称,谷歌在欧盟方面没有主基地与有关良好的官方,因为关于加工与Android和Google账户有关的数据的所有决定都是在公司的总部在美国制定的。
在与法国的鲜明对比中,许多其他欧盟国家已经采取了较软的方法,投资大部分努力进入教育公司和发行警告,而不是立即施加罚款。通信策略的这种差异导致从一个国家到另一个国家的数据控制器之间对风险的不同看法。感知的这些差异可以部分解释报告的数据泄露数量的差异。
DLA PIPER关于GDPR前八个月内通知的违规行为的报告表明,在数据违规行数 - 荷兰,德国和英国的三个国家 - 几乎是许多违规行为的两倍其他欧盟国家合并。DLA Piper报告说,许多组织的通知当局主要是因为他们知道他们可能会遭受沉重的制裁,因为不通知。
“如果有违约,我们将通知当局并与他们密切合作,以了解真正发生的事情,并为他们判断德国制造商欧司朗的Cio Hanna Hennig说。“如果你不符合义务,你必须支付罚款。”
然而,在他们报告违约后,许多公司都挂了挂。根据DLA Piper的说法,大量通知已经创建了积压,许多组织必须等待很长时间才能从监管机构中回复,是否将对他们报告的违规行为采取行动。
鉴于欧盟国家对GDPR的不同解释,难怪数据控制器遭到困惑 - 但它们不是唯一的。公民也是如此。所有经常混淆的数据隐私消息一直在2018年5月后开始出现,肯定会浏览互联网一点艰巨。
“我们需要简化GDPR的信息,”欧洲数据监督员Giovanni Buttarelli说。“我们需要投入更多的培训。欧盟的许多公民并没有充分了解自己的权利。“
要解决的其他大问题之一是如何处理来自欧盟外部的技术。大数据和人工智能(AI)将提出最大的问题,特别是随着中国在这两种技术中发挥着增长的作用。
欧盟已经投入了很多努力,以追溯到大多数数据存储的国家 - 美国 - 对数据隐私的看法不同于欧盟。由于双边协议 - (安全港口,那么隐私盾牌 - 基于欧盟的数据控制器在储存来自认证美国公司的服务器上的数据时感到安全。
“我们使用Microsoft Azure以及IBM私有云,”Osram的Hennig说。“他们都在欧洲拥有他们的数据中心。我的理解是,如果他们拥有隐私盾构框架,那么您受到保护程度。此外,我们在与美国供应商合同中使用标准模型条款。当然,一家公司永远无法保护自己免受犯罪思想,但你可以看到云提供商有正确的安全行为。“
虽然欧盟与美国协调做得很好,但可能需要对中国采取不同的方法。“在中国,如果你说你需要隐私,它被解释为意味着你有一些隐藏的东西,”Buttarelli说。“该国有一个完全不同的隐私方法,这将与我们未来隐私的看法发生冲突。”
他加了:“今天我们在与硅谷对话中,我们已经以根据欧盟法规确保保护隐私的方式制定了一种方式。但到2021年和2022年,全球化的中国系统将普遍存在。如果他们希望在欧盟运营,他们需要与我们进行对话。“