Як справи із захистом даних у вашій країні?

Категорії рушійних факторів належної поведінки щодо захисту даних не є необмеженими за кількістю чи однаковими за силою, але вони включають законні рушії, тиск споживачів, активність, операційні збої, корпоративне управління та більш езотеричні ідеї, такі як репутація, ESG, освічений особистий інтерес і бізнес-ціль. Звичайно, на практиці драйвери можуть накладатися та поєднуватися, і коли це станеться, вони можуть стати потужнішими в сукупності.

Персональні дані конфіденційні, печатка на папці з важливими документами

Гетті

Операційний провал – не найкраща стратегія

Наприклад, візьмемо ситуацію серйозного збою в роботі, скажімо, порушення кібербезпеки, яке завдає шкоди конфіденційності, цілісності та доступності персональних даних. Інцидент також може вплинути на здатність організації виконувати бізнес-контракт або наражати на ризик інші суб’єкти в ланцюжку постачання. У результаті може виникнути низка юридичних обов’язків, тоді як внутрішня чистка може виявити проблеми управління в першопричині. Інцидент може також заплямувати бренд і репутацію організації. Таким чином, ми бачимо внаслідок порушення потенціал для співіснування кількох драйверів, які повинні підштовхнути організацію до стану кращого захисту даних, або, принаймні, це теорія. Однак це був би дивний світ, якби ми повністю покладалися на операційні збої, щоб стимулювати хорошу поведінку. Справжня мета полягає в тому, щоб організації прийняли належну поведінку, щоб зменшити ризик виникнення невдач. Так само ми маємо бути реалістичними щодо сильних сторін і обмежень споживачів, активізму, освіченого егоїзму та таких речей, як бізнес-ціль і ESG. Вам потрібно лише поглянути на проблему зміни клімату, щоб зрозуміти це: ми знаємо, що для нас добре і що нам потрібно робити, але статус-кво має потужні, приватні економічні інтереси, пов’язані з політичним впливом, тоді як кращий шлях затьмарений величезними складнощами та необхідністю масових руйнувань. Таким чином, ми залишаємося в стрімкій лінії хаосу, збентежені нашою інертністю та упередженнями за замовчуванням.

Для правильної поведінки необхідні міцні правові основи

Ми точно знаємо, що дуже складні проблеми, як правило, потребують сильного правового втручання, щоб створити імпульс для зміни поведінки в зоні, яка розглядається. Елементи цього правового втручання включають законодавство, регулювання ex ante та правозастосування ex post, що охоплює регулятивну сферу та судову сферу. Ці законодавчі втручання встановлюють очікування, вони стимулюють зміну поведінки в прямому сенсі та забезпечують фундамент і основу для інших рушійних сил, на яких можна спиратися та використовувати, наприклад, реалізація прав особи та процеси активізму. У цьому сенсі закон виступає замінником інших рушійних сил, але, як і батьки, він має створювати умови для процвітання нащадків і дорослішання. Принаймні теоретично, якщо закон добре виконує свою роботу, він може почати відступати. Але якщо воно відступить занадто рано, потомство може бути недостатньо сильним, щоб стати на власні ноги. Отже, закон має бути присутнім, доки нащадки не досягнуть повноліття, будучи передбачливими та захищаючи, поки вони не досягнуть повноліття. На цьому тлі, як ми ставимося до стану законодавства про захист даних на даний момент? І як Велика Британія порівнюється з ЄС?

Позиція Великобританії

Значний виклик, з яким потрібно зіткнутися, — це реальність Brexit. Ця концепція була продана як шлях для Великобританії до досягнення суверенітету над своїми законами, і це завжди було частиною плану, щоб GDPR ЄС був замінений або змінений. Процес законодавчої реформи розпочався у вересні 2021 року з публікації урядового консультаційного документа «Дані: новий напрямок», кульмінацією якого став проект закону «Про захист даних і цифрової інформації», поданий до парламенту в липні 2022. Відвідування веб-сайту уряду показує, що законопроект перебуває в застою. Це настільки глибоко заморожено, що веб-сайт досі показує Надін Дорріс як міністра-спонсора, але її замінила Мішель Донелан у вересні 2022 року, яку саму замінила Люсі Фрейзер у лютому 2023 року. Здається дивовижним, що законодавча база такого значення , з такою кількістю звисаючих, буде оброблено таким чином. Законодавча траєкторія має бути чіткою. Коли це не так, наслідки зрозумілі: захист даних не є важливим пріоритетом для Великобританії. У системі регулювання тон полягає в пріоритеті порад і вказівок над офіційними регуляторними діями, але там, де вживаються дії, вони будуть цілеспрямованими та стратегічними. Є багато вагомих аргументів, які можна навести на користь цієї стратегії, але, з іншого боку, є також питання про те, як стратегія сприймається. Можливо, прошепотіть про це тихо й за зачиненими дверима, але, здається, у спільноті захисту даних зростає думка про те, що регулятивні дії можна відкинути як підрахований ризик. Я б не погодився, але якщо таке сприйняття сильніше увійде в ширшу спільноту контролерів даних і процесорів, деякі роки готовності до GDPR можуть бути втрачені. І навпаки, стратегія ICO, яка передбачає оприлюднення догани після виявлення порушення, може сприяти дотриманню вимог, наприклад, якщо це спричинить публікацію новин. Потім є судова система. Як розуміють усі, хто вивчає загальне право, судовий процес є необхідним для нашого розуміння прав і обов’язків для прогресу. Якщо ми вивчаємо більш давні правові рамки, ніж захист даних, скажімо, земельне законодавство (нерухомість), ми маємо зробити висновок, що здорова культура судового розгляду є справою, яку варто відзначити. Однак у сфері захисту даних у Великобританії це вмирає на ногах. Судова відмова від судових процесів із захисту даних, хоча й зрозуміла в кожному конкретному випадку через погане формулювання справ, додає загального відчуття правового збіднення, яке відчувають деякі люди. Якщо це справедливий випадок, то вплив на інші рушії імпульсу є глибоким. Наприклад, куди споживач подіє свою скаргу, якщо вона не буде почута? Як активіст відстоюватиме свою позицію? Чи зупиниться розвиток захисту даних у Великій Британії взагалі без міцної правової основи? Сподіваюся, це не так, але час покаже.

ЄС навпаки

Навпаки, правова база в ЄС, здається, процвітає, оскільки три її стовпи – законодавство, регулятивні дії та судовий процес – працюють у тандемі. Зараз, майже через 5 років після введення в дію, GDPR дає конкретні та відчутні результати, які мають реальний потенціал для значно ширшого впливу, обіцяючи технологічні інновації, посилення конкуренції та більший вибір споживачів у захисті даних. -послідовний спосіб. Відмова від законного водія, як правило, сприяє збереженню статус-кво. Але статус-кво не завжди означає найкраще. Можливі слабкі аналогії – наприклад, ми більше не пускаємо дітей у димарі – натомість дивимося на саме серце обробки даних і технологічного розвитку. Ви можете самостійно виконати домашнє завдання з цього приводу, але як підказку, як ви думаєте, які втручання перемістили світ від склеротичної голосової телефонії до набагато більш вигідного світу обробки даних?