周三,欧洲联盟在Android移动操作系统周三举行了51亿美元的罚款,以促使欧洲愿意为不良行为发出急救财务处罚的举措。
此外,还有另一个令谷歌乃至整个广告业都不得不担心的“大棒”:《通用数据保护条例》(GDPR)。
但近两个月过去一般数据保护规则遵守截止日期,欧洲的监管机构仍在靠近背心的卡片。
由于GDPR允许高达2000万欧元或年度全球营业额的4%的罚款,赌注很高。
目前尚不清楚哪个行业将受到第一次执法行动的影响,平均罚款将是多少,或者哪些国家在其申请中最严格。
“他们正在等待尘土解决,”莫里森和Foerster的全球联合主席Alex Van der Wolk说,全球联合主席。“对于监管机构来说,没有预期很多执法,因为监管机构出来射击。”
但是有线索。爱游戏体育骗子adexchanger报告表明,执法行动可能集中在少数国家,即爱尔兰将发挥局势作用,并将警告将在罚款之前。
橡胶在哪里与道路相交?
尽管GDPR的主要目标之一是协调整个欧洲的隐私法律,但每个成员国的数据保护机构(DPA)在执行规则的严格程度上都有一定的灵活性。
“GDPR的目标是协调法律,但当涉及到法律的执行时,这几乎是监管机构的特权,”van der Wolk说,“我们将看到在国家层面上的不同应用。”
某些司法管辖区在消费者保护方面更为积极,通常的嫌疑人可能会热情地执行GDPR。
帕金斯科伊(Perkins Coie)广告技术隐私和数据管理业务联席主席多米尼克•谢尔顿(Dominique Shelton)表示,主要是德国、法国、英国和西班牙。
虽然没有执法,但已经收到了一些数据保护友好的司法管辖区已经收到了投诉。例如,律师普罗曼斯Max Schrems将于5月25日向Facebook,Instagram,Whatsapp和Android提交的类 - 行动投诉到法国,奥地利,比利时和汉堡,德国的DPA,所有这些都可能会给抱怨一个同情的听证会。
“这些地方没有任意或意外选择,”谢尔顿说。
但行动可能来自任何季度。GDPR赋予DPA上的新权力,包括开展广泛审计并获得对商业场所的访问,而较小的司法管辖区可能很快弯曲他们的肌肉。
“不要忘记像匈牙利和罗马尼亚这样的国家,”范德沃克说。“他们将开始利用自己的能力。”
这就是为什么公司与合规制度一起玩游戏是无用的。
Shelton说:“对一家公司来说,最好的防御就是采取合理的顺从立场。”“不要看着地图说,‘也许这个管辖区比那个更安全’,因为会有一些出人意料的决定。”
但这条路会迎接你吗?
一个可能充满惊喜的国家是爱尔兰。
包括Facebook、谷歌、Twitter和苹果(Apple)在内的大多数硅谷大型科技公司的欧洲总部都设在这里,部分原因是该国的企业税率极低。也是在这里,施雷姆斯发起了他对Facebook数据收集行为的多年战争,这场战争最终扼杀了安全港协议。
范德沃尔克说,爱尔兰被视为一个“务实的监管者”,“平易近人……你可以和他们交谈,为自己辩护。”作为欧洲的科技中心,很多案件和投诉可能会落到爱尔兰的肩上
Lehen Dixon是爱尔兰数据保护委员会表示,她的办公室的初步重点是对来自欧盟公民的大量投诉作出反应。在诉诸罚款之前,爱尔兰DPA“旨在解决这个问题”,迪克森说最近在都柏林召开的数据和安全会议上。
如何远离麻烦
不管第一批执法来自哪里,监管机构都不会抓住时机。认真对待合规的公司很可能在受到处罚之前就得到警告。
“我们一直听到监管机构把GDPR当作一个过程,而不是一个目的地,”谢尔顿说。“其理念是让企业将隐私和数据安全纳入日常运营。”
荷兰数据保护机构,例如说,“真正的承诺,尽最大努力会议[公司]GDPR义务”将被视为一个缓解因素,和法国信息办公室表示,公司“最初期望可以温和地对待,前提是他们善意行事。”
In other words, appoint a data protection officer, run a data inventory and mapping exercise, put a transparent privacy policy in place, have a lawful basis for processing data and don’t treat GDPR compliance as a one-off box-ticking exercise, and a company can consider itself relatively safe.
那些不采取这些步骤的人?出色地…
在今年4月的国际隐私专业人士协会(International Association of Privacy Professionals)活动上,英国信息专员伊丽莎白·德纳姆(Elizabeth Denham)表示,说尽管自愿服从是“首选途径”,但她的办公室准备在必要时采取强硬措施,对那些“长期、故意、疏忽地无视法律”的组织处以“巨额罚款”。
GDPR下公司的第72小时数据泄露通知要求越严格,也将在监管机构中为潜在的执法行动。
“监管机构将意识到违规者,他们可能甚至不了解之前,虽然他们不能跟进一切,但我们将看到他们回应,”梵德波尔克说。
dcpa也可能会因为针对某家公司的投诉过多而被迫执行,或者从媒体和受到媒体审查的问题(如“剑桥分析”)中获取线索。(例如,如果这桩丑闻发生在5月25日之后,英国信息专员办公室(Information Commissioner’s Office) 7月初开出的66.4万美元罚款可能会更接近这种情况19亿美元。]
与联邦贸易委员会不同,监管机构也可能选择执行他们知道他们可以赢得一家公司以向市场发出信号,以便通过指导和罚款进行某些不良行为的例子。
但是DPA必须是明智的,他们带来了案件。他们只有这么多人参与员工,他们的工作量正在增加呈指数级的后GDPR。
"预计监管机构会先发出警告或建议,然后再发出处罚," van der Wolk称。“GDPR是新的,这些义务也是新的,企业仍在进行调整。”