Pengawas data utama UE untuk sebagian besar teknologi besar masih menggunakan Lotus Notes – TechCrunch

0
49


Pengawas data utama untuk sejumlah raksasa teknologi di Uni Eropa, termasuk Apple, Facebook, Google, LinkedIn, TikTok dan Twitter, masih mengandalkan Lotus Notes untuk mengelola keluhan dan investigasi yang diajukan di bawah Peraturan Perlindungan Data Umum (GDPR) utama blok tersebut. ), sesuai permintaan kebebasan informasi yang dibuat oleh Dewan Irlandia untuk Kebebasan Sipil (ICCL).

Kembali ke dalamnya Laporan tahunan 2016 Komisi Perlindungan Data Irlandia (DPC) menyatakan bahwa salah satu tujuan utamanya untuk kesiapan GDPR (dan ePrivasi) termasuk “penerapan situs web baru dan sistem manajemen kasus” sebelum peraturan tersebut mulai berlaku pada Mei 2018. Namun, sekitar lima tahun Nanti proyek peningkatan ITC ini masih dalam proses, tanggapan atas FOI ICCL.

Tenggat waktu proyek berulang kali terlewat, per dokumen internal sekarang dalam domain publik, sementara pada bulan Oktober 2020 biaya peningkatan TIK DPC meningkat lebih dari dua kali lipat vs proyeksi awal – menggelembung menjadi setidaknya € 615.121 (angka yang tidak termasuk waktu staf yang dihabiskan untuk proyek tersebut sejak 2016; dan juga tidak termasuk biaya pemeliharaan sistem Lotus Notes kuno yang ditanggung oleh Departemen Kehakiman pemerintah Irlandia).

Pengungkapan bahwa supervisor data utama untuk sebagian besar teknologi besar di Eropa menangani keluhan menggunakan perangkat lunak ‘generasi terakhir’ tidak hanya terlihat sangat memalukan bagi DPC, tetapi juga menimbulkan pertanyaan tentang efektivitas manajemen seniornya.

DPC terus menghadapi kritik atas lambannya penegakan peraturan vis-a-vis teknologi besar yang, dikombinasikan dengan mekanisme one-stop-shop GDPR, telah menyebabkan tumpukan besar kasus yang telah diakui Komisi Eropa adalah a kelemahan regulasi. Jadi pengungkapan bahwa butuh waktu lama untuk mendapatkan ITC sendiri agar hanya akan memicu kritik bahwa regulator tidak sesuai untuk tujuan.

Masalah yang lebih luas di sini adalah jurang besar dalam sumber daya dan keahlian teknis antara raksasa teknologi, banyak di antaranya meraup untung besar dari data orang yang dapat mereka gunakan untuk membayar pasukan pengacara internal guna melindungi mereka dari risiko intervensi regulasi, vs kecil, lembaga sektor publik yang kekurangan sumber daya bertugas membela hak pengguna – tanpa alat modern yang sesuai untuk membantu mereka melakukan pekerjaan.

Namun, dalam kasus Irlandia, lamanya waktu yang terlibat dalam merombak TIK internalnya memang menyoroti pengelolaan sumber daya. Paling tidak karena anggaran dan jumlah pegawai DPC telah bertambah sejak sekitar tahun 2015, karena lebih banyak sumber daya telah dialokasikan untuk itu untuk mencerminkan penerapan GDPR.

ICCL menyerukan kepada pemerintah Irlandia untuk mempertimbangkan mempekerjakan dua komisaris tambahan – untuk melengkapi komisaris (tunggal) saat ini, Helen Dixon, yang ditunjuk untuk peran tersebut pada tahun 2014.

Ini mencatat bahwa hukum Irlandia memungkinkan kemungkinan memiliki tiga komisaris.

“Orang-orang yang seharusnya memastikan bahwa Facebook dan Google tidak menyalahgunakan informasi yang mereka miliki tentang kita masing-masing, menggunakan sistem yang sangat kuno sehingga seorang mantan anggota staf mengatakan kepada saya bahwa itu ‘seperti mencoba menggunakan sempoa untuk melakukan payroll ‘, ”kata Dr Johnny Ryan, seorang rekan senior ICCL, kepada TechCrunch.

DPC tidak dikonfigurasi untuk misi digitalnya, ”tambahnya dalam sebuah pernyataan. “Apa yang kami temukan menunjukkan bahwa itu tidak dapat menjalankan proyek teknologi internal yang sangat penting. Bagaimana bisa diharapkan untuk memantau apa yang dilakukan perusahaan teknologi terbesar di dunia dengan data kita? Ini menimbulkan pertanyaan serius tidak hanya untuk DPC, tetapi juga untuk Pemerintah Irlandia. Kami telah memberi tahu Pemerintah Irlandia tentang risiko ekonomi strategis karena gagal menegakkan GDPR. ”

Dihubungi untuk memberikan komentar, DPC memberi tahu kami bahwa ia memiliki ““Sistem Manajemen Kasus yang fungsional dan sesuai untuk tujuan yang dikatakan telah” dioptimalkan dengan fitur-fitur baru selama beberapa tahun terakhir (termasuk dengan kemampuan untuk menghasilkan statistik dan laporan manajemen) “.

Tetapi mengakui bahwa sistem tersebut “tertanggal” dan “terbatas” dalam hal seberapa banyak itu dapat diadaptasi untuk integrasi dengan situs web DPC baru dan formulir web dan IMI [information systems management] platform bersama yang digunakan antara otoritas perlindungan data UE – mengingat itu didasarkan pada teknologi Lotus Notes.

“Pekerjaan signifikan dalam menentukan sistem dan membangun modul intinya telah selesai,” kata wakil komisi Graham Doyle. “Beberapa keterlambatan pengiriman terjadi karena pembaruan spesifikasi elemen keamanan dan infrastruktur. Beberapa elemen lain atas permintaan dari DPC telah diperlambat untuk memungkinkan penyelesaian antara DPA UE dari proses akhir yang dimaksudkan seperti yang terlibat dalam kerjasama Pasal 60 dan mekanisme konsistensi di bawah GDPR.

“EDPB [European Data Protection Board] baru sekarang menyiapkan panduan internal tentang operasionalisasi Pasal 60 dan selanjutnya tentang mekanisme penyelesaian sengketa berdasarkan Pasal 65. Ini adalah fitur utama pekerjaan antara DPA UE yang memerlukan penyerahan antar sistem. Selain itu, Uni Eropa hampir 3 tahun setelah itu dimaksudkan untuk belum mengadopsi undang-undang e-Privasi yang baru. Selanjutnya, DPC bersama semua DPA UE lainnya sedang mempelajari bagaimana aspek prosedural dan operasional GDPR beroperasi dengan detail yang bagus dan beberapa di antaranya masih harus diselesaikan. ”

Doyle menambahkan bahwa “kemajuan berlanjut” pada investasi Sistem Manajemen Kasus yang baru – mengatakan bahwa DPC bermaksud bahwa “modul inti awal” dari sistem baru akan diluncurkan pada Q2 2021.

Hingga saat ini, regulator Irlandia hanya mengeluarkan satu keputusan terkait dengan keluhan GDPR lintas batas: Di Desember ketika itu mendenda Twitter $ 550k atas pelanggaran keamanan yang dilakukan perusahaan diungkapkan secara publik pada Januari 2019.

Ketidaksepakatan antara Irlandia dan DPA UE lainnya atas proposal penegakan awalnya menambahkan beberapa bulan lagi ke proses keputusan – dan DPC akhirnya dipaksa untuk meningkatkan hukuman yang disarankan hingga beberapa ribu euro setelah pemungutan suara mayoritas.

Kasus Twitter hampir tidak berjalan mulus tetapi sebenarnya mewakili perputaran yang relatif cepat dibandingkan dengan tujuh + tahun yang terlibat dalam pengaduan terpisah (2013) (alias Schrems II) – terkait dengan transfer data internasional Facebook yang mendahului GDPR.

Dengan pengaduan tersebut, DPC memilih untuk pergi ke pengadilan untuk menyampaikan kekhawatiran tentang legalitas mekanisme transfer data itu sendiri daripada bertindak atas pengaduan khusus atas penggunaan Klausul Kontrak Standar oleh Facebook. Sebuah rujukan ke Pengadilan Eropa diikuti dan pengadilan tertinggi UE akhirnya mentorpedo pengaturan transfer data utama antara UE dan AS.

Terlepas dari tantangan hukumnya yang mengakibatkan Privacy Shield UE-AS dibatalkan, DPC masih belum menarik steker pada transfer UE Facebook. Meski terakhir September itu mengeluarkan perintah penangguhan awal – yang segera ditantang Facebook (dan diblokir, sementara) melalui peninjauan yudisial.

Tahun lalu DPC menyelesaikan peninjauan kembali atas prosesnya, yang diajukan oleh pengadu asli, dan setuju menyelesaikan keluhan dengan cepat – meskipun keputusan masih mungkin berbulan-bulan. Tapi akhirnya harus datang tahun ini.

DPC membela diri terhadap tuduhan penegakan hukum yang menyeret dengan mengatakan bahwa mereka harus mengikuti proses yang seharusnya untuk memastikan keputusannya menghadapi tantangan hukum.

Tetapi karena kritik terhadap unit tersebut terus meningkat karena peningkatan TIK internal andalannya sendiri berlarut-larut sekitar lima tahun setelah dinyatakan sebagai prioritas DPC tidak akan melakukan apa pun untuk membungkam para kritikus.

Minggu lalu komite kebebasan sipil parlemen Uni Eropa mengeluarkan a rancangan gerak meminta Komisi untuk memulai proses pelanggaran terhadap Irlandia “karena tidak menegakkan GDPR dengan benar”.

Dalam pernyataan itu tertulis “keprihatinan yang mendalam” bahwa beberapa keluhan terhadap pelanggaran GDPR belum diputuskan oleh DPC Irlandia meskipun GDPR mulai diberlakukan pada Mei 2018.

Komite LIBE juga menandai kasus transfer Facebook Schrems II – menulis bahwa mereka prihatin dengan kasus ini “dimulai oleh Komisaris Perlindungan Data Irlandia, alih-alih mengambil keputusan sesuai kewenangannya sesuai dengan Pasal 58 GDPR ”.

Perlu juga dicatat bahwa rencana terbaru Komisi untuk memperbarui peraturan platform pan-UE – Digital Services Act dan Digital Markets Act – mengusulkan untuk mengesampingkan risiko kemacetan penegakan dengan menyarankan bahwa penegakan kunci terhadap platform terbesar harus dilakukan secara internal. untuk menghindari risiko satu lembaga Negara Anggota menghalangi penegakan lintas batas hak data warga negara Eropa, seperti yang terus terjadi dengan GDPR.

Keanehan lain dalam kaitannya dengan DPC Irlandia adalah bahwa unit tersebut tidak tunduk pada hukum kebebasan informasi yang lengkap. Sebaliknya, undang-undang hanya berlaku sehubungan dengan catatan tentang “administrasi umum Komisi”. Ini berarti bahwa “fungsi pengawasan, pengaturan, konsultasi, penanganan keluhan atau investigasi (termasuk file kasus) tidak dapat dirilis berdasarkan Undang-undang”, seperti yang dicatat pada situs web.

Permintaan kebebasan informasi yang diajukan oleh TechCrunch tahun lalu – menanyakan kepada DPC berapa kali DPC telah menggunakan kewenangan GDPR untuk memberlakukan larangan sementara atau absolut pada pemrosesan data – ditolak oleh regulator dengan alasan ini.

Penolakannya untuk mengungkapkan apakah ia pernah meminta entitas yang melanggar untuk berhenti memproses data pribadi mengutip cakupan sebagian dari undang-undang KIP, dengan mengatakan bahwa ‘administrasi umum’ hanya mengacu pada “catatan yang ada hubungannya dengan pengelolaan badan FOI tersebut. sebagai catatan yang mengacu pada personalia, masalah pembayaran, rekrutmen, rekening, teknologi informasi, akomodasi, organisasi internal, prosedur kantor dan sejenisnya ”.

Sementara undang-undang FOI Irlandia mencegah pengawasan lebih dekat terhadap aktivitas DPC, catatan penegakan badan tersebut berbicara sendiri.





Sumber

LEAVE A REPLY

Please enter your comment!
Please enter your name here