Моя остання колонка 2020 складається з двох частин. У цій першій частині я розмірковую про те, яким дивним у нас був рік, виділяючи деякі основні моменти з погляду інформаційного права. У другій частині я з нетерпінням чекатиму на те, що може принести 2021 рік.

Звісно, ​​2020 року повністю домінував вплив COVID. Це був важкий рік для багатьох підприємств. А пандемія породила всілякі проблеми із захистом даних. Цілком очевидно, що організаціям довелося адаптуватися до нових способів роботи, що для багатьох із нас передбачало роботу з дому. Для роботодавців це призвело до значно більшої уваги до інформаційної безпеки — аналізу та управління додатковими ризиками, пов’язаними з надомною роботою, навчанням нових віддалених співробітників та забезпеченням збереження хороших звичок в управлінні даними. Оскільки надзвичайна ситуація на початку цього року поступилася місцем нової «нормальної», організаціям тепер необхідно переконатися, що їхні внутрішні політики та процедури відображають цю нову реальність.

Нова норма також означає нові типи збору даних. Це включає готельні та роздрібні компанії, яким необхідно отримати інформацію про відстеження, тестування на робочому місці на COVID і навіть дані про членів сім’ї, коли співробітник повинен самоізолюватися. Частина цих даних є інформацією про здоров’я, яка є особливою категорією. Організації повинні виявляти особливу обережність у цій галузі, думаючи про законні підстави для збору даних, відповідні терміни зберігання та оновлення повідомлень про конфіденційність.

У деяких випадках це вимагало швидкої оцінки на захист даних. Це було складним завданням для великих та малих підприємств. Уряд також зіштовхнувся зі своїми проблемами. Ще навесні компанія покладала великі надії на свою програму для відстеження контактів для смартфонів, але проблеми захисту даних та конфіденційності мало не зірвали весь проект і призвели до фундаментальної зміни підходу.

Якщо відійти від конкретних даних, пов’язаних з COVID, велика літня суперечка з приводу рівня A та результатів GCSE призвела до важливих суспільних дебатів щодо використання алгоритмів та потенційного зловживання ними, а також щодо їх ролі в автоматизованому прийнятті рішень. Справедливо відзначити, що серед фахівців із захисту даних правила автоматичного прийняття рішень були широко зрозумілі. Ця сварка висунула їх на передній план у наших умах, хоча рішення про відміну результатів алгоритмом не дозволили ICO або судам прийняти рішення про їх масштаби. Використання алгоритмів, ймовірно, тільки зростатиме в найближчі роки, так що це одна з проблем, яка не зникне.

Вдалині від пандемії закон продовжував розвиватися. Хоча (на щастя) цього року не було серйозних змін у законодавстві, у нас з’явилося нове прецедентне право. У квітні Верховний суд ухвалив рішення у справі Моррісона. Верховний суд скасував рішення Високого суду та Апеляційного суду, які раніше ухвалили, що Морісон несе субсидіарну відповідальність відповідно до Закону про захист даних 1998 року за дії незадоволеного співробітника, який навмисно злив в Інтернет дані про заробітну плату тисяч працівників. .

Справи про захист даних рідко сягають Верховного суду, тому це рішення мало велике значення. Роботодавці були задоволені результатом, хоча суд підтвердив принцип, за яким роботодавці можуть нести субститутивну відповідальність відповідно до закону про захист даних за дії своїх працівників (тільки не за фактами цієї справи).

Цей випадок став своєчасним нагадуванням про навчання персоналу правильної обробки даних. У липні Європейський суд оприлюднив своє рішення щодо довгоочікуваного судового процесу у справі Шремса II. Це рішення анулювало Угоду про правила обміну конфіденційною інформацією між ЄС та США і в чергове поставило під сумнів законність міжнародної передачі даних. Це, ймовірно, стане великою проблемою в 2021 році, особливо у світлі майбутніх змін Brexit — докладніше про це в наступній колонці.

У такий складний рік повсякденна робота з управління інформацією відійшла другого план. ICO зробив ранню та рішучу заяву про те, що надасть організаціям, які постраждали від COVID, додаткову свободу дій, що дуже віталося і, безумовно, допомогло впоратися з деякими початковими труднощами. Але незважаючи на виклики пандемії, робота регулятора не зупинилася, а деякі великі справи були врегульовані.

У жовтні British Airways та Marriott Worldwide нарешті отримали довгоочікувані штрафи GDPR. Як ви, можливо, пам’ятаєте, влітку 2019 року ICO оголосило про свій намір оштрафувати ці компанії на 193 та 88 мільйонів фунтів стерлінгів за серйозні порушення безпеки. Проте компанії зробили додаткові заяви і тому ICO довелося переглянути свій підхід. Накладені штрафи були значно знижені порівняно з початковими повідомленнями про наміри: British Airways отримала штраф у розмірі 20 мільйонів фунтів стерлінгів, а Marriott – 18,4 мільйонів фунтів стерлінгів. Це, як і раніше, величезні цифри, але вони набагато нижчі, ніж передбачалося спочатку, так що в деякому сенсі British Airways і Marriott досягли хорошого результату. Тим не менш, епоха багатомільйонних штрафів за захист даних справді настала.

ICO також було зайняте новим керівництвом. Практики особливо вітали посібник з нових запитів на предметний доступ. Нова система підзвітності дає набагато чіткіші рекомендації щодо документів та дій, які ICO очікує від організацій для виконання своїх зобов’язань щодо підзвітності. В інших місцях регулюючі органи збільшили темпи дотримання GDPR від мінімальних штрафів до багатомільйонних євро. Наприклад, CNIL у Франції нещодавно оштрафувала мережу супермаркетів Carrefour на суму понад 3 млн. євро за різні порушення, а Twitter був оштрафований на 450 000 євро ірландським DPC. Іронія в тому, що ми отримуємо більше прикладів з усієї Європи якраз у той момент, коли ці рішення перестають впливати на Велику Британію.

Зі всім, що сталося в 2020 році, легко забути, що GDPR і Закон про захист даних 2018 року — все ще дуже нові закони. Усі ми — підприємства, практики, регулюючі органи та суди — все ще стикаємося з новими ситуаціями та новими викликами. Безперечно, це був складний рік, коли питання захисту даних завжди були в центрі уваги. У моїй наступній колонці я розповім, що може принести 2021 рік.


Джон Белчер

Джон Белчер – фахівець із захисту даних та управління інформацією в Excello Legislation.