Όταν η Εθνική Υπηρεσία Εσόδων της Βουλγαρίας (Natsionalna agentsia za prihodite ή «NAP») υπέστη κακόβουλη διαρροή δεδομένων το 2019, εντάχθηκε στην αυξανόμενη σειρά οργανισμών που πλήττονται από κυβερνοεπιθέσεις. Με την ασφάλεια να αποτελεί συχνά εκ των υστέρων σκέψη στον κυβερνοχώρο, οι παραβιάσεις δεδομένων έχουν γίνει ένα μειονέκτημα/πραγματικότητα της δικτύωσης . Κάτω από τη λάμψη της ψηφιοποίησης και της οικονομίας δεδομένων κρύβονται παράνομες αγορές , « το κεντρικό εμπόρευμα των οποίων είναι τα κλεμμένα δεδομένα ». Η παραβίαση δεδομένων του NAP, η οποία επηρέασε 6 εκατομμύρια Βούλγαρους και ξένους πολίτες , πυροδότησε πολλές ενέργειες για την ανάκτηση αποζημιώσεων, όπως η διαδικασία που οδήγησε στην υπόθεση Natsionalna agentsia za prihodite (NAP). Ενώ ο Breyer ήταν τεχνικά η πρώτη απόφαση του ΔΕΚ που συνδέθηκε με περιστατικό κυβερνοασφάλειας, η υπόθεση NAP είναι η πρώτη που ασχολείται με παραβιάσεις δεδομένων και «κυβερνοπαραβίαση» στο πλαίσιο του GDPR. Η σημασία του δεν μπορεί να υπερεκτιμηθεί: οι διαδικασίες που κινήθηκαν από άτομα κατά του στελέχους της ιρλανδικής υπηρεσίας υγείας μετά από μια επίθεση ransomware HSE το 2021 έχουν ανασταλεί εν αναμονή της έκβασης αυτής και παρόμοιων υποθέσεων.
Το ότι ένα αίτημα για προδικαστική απόφαση κατατέθηκε στο μητρώο του Δικαστηρίου μόλις το 2021, παρά την έκθεση των υπευθύνων επεξεργασίας δεδομένων σε παραβιάσεις για δύο δεκαετίες , οφείλεται στην καθυστερημένη συμπερίληψη της ασφάλειας στον κυβερνοχώρο στο πεδίο εφαρμογής της νομοθεσίας της ΕΕ. Ειδικότερα, όσον αφορά τις παραβιάσεις δεδομένων, διακριτές διατάξεις έχουν ενσωματωθεί σε υφιστάμενα μέσα τα τελευταία 15 χρόνια, δημιουργώντας ένα ασυνάρτητο ρυθμιστικό συνονθύλευμα. Η πρώτη εισήχθη με την τροποποίηση του 2009 στην Οδηγία για την προστασία της ιδιωτικής ζωής στην ηλεκτρονική , η οποία ωστόσο είχε περιορισμένο πεδίο εφαρμογής και κανένα ειδικό καθεστώς ευθύνης, σε αντίθεση με τον GDPR, ο οποίος προβλέπει ένα οριζόντιο σύστημα ένδικων μέσων αστικού δικαίου. Είναι η ερμηνεία αυτού του συστήματος ένδικων μέσων που οδήγησε στο αίτημα για την έκδοση προδικαστικής απόφασης από το βουλγαρικό Varhoven administrativen sad (Ανώτατο Διοικητικό Δικαστήριο), μαζί με τους κανόνες για την ευθύνη των υπευθύνων επεξεργασίας δεδομένων των οποίων τα δεδομένα παραβιάστηκαν. Το αίτημα υποβλήθηκε στο πλαίσιο διαδικασίας που άσκησε η VB για να αξιώσει αποζημίωση για ηθική βλάβη που υπέστη λόγω της εικαζόμενης παράλειψης του NAP να εκπληρώσει τις νομικές του υποχρεώσεις ως υπεύθυνης επεξεργασίας δεδομένων.
Σε μια απόφαση που εκδόθηκε στις 14 Δεκεμβρίου , το Δικαστήριο συνδύασε κυριολεκτικό, συστημικό και τελεολογικό σκεπτικό για να διαπιστώσει ότι μια κυβερνοεπίθεση δεν απαλλάσσει αυτόματα τους υπεύθυνους επεξεργασίας δεδομένων από την ευθύνη που τους αναλογεί βάσει του GDPR, ούτε ότι μια τέτοια επίθεση, από μόνη της, καταδεικνύει την ακαταλληλότητα των ισχυόντων τεχνικών και οργανωτικών μέτρων. Ο υπεύθυνος επεξεργασίας φέρει το βάρος να αποδείξει την καταλληλότητα τέτοιων μέτρων, τα οποία πρέπει να αξιολογηθούν από εθνικό δικαστήριο χωρίς την απαραίτητη προσφυγή σε πραγματογνώμονες. Ο φόβος μελλοντικής κακής χρήσης προσωπικών δεδομένων μπορεί να συνιστά ηθική βλάβη που οδηγεί σε αποζημίωση σύμφωνα με το άρθρο 82 του ΓΚΠΔ.
Εν μέρει νέα θέματα, φειδωλός συλλογισμός
Απαντώντας στα εν μέρει καινοτόμα ζητήματα που εγείρονται από τον διοικητικό θλιβερό Varhoven , το ΔΕΕ ακολουθεί τη Γνώμη για την υπόθεση, αλλά υιοθετεί μια πιο προσεκτική συλλογιστική από αυτή του AG Pitruzzella. Η AG προέβη σε δηλώσεις σχετικά με το έγκλημα στον κυβερνοχώρο και σχολίασε την αρχιτεκτονική του GDPR για να διευκρινίσει τη φύση του καθεστώτος ευθύνης, κάνοντας διάκριση μεταξύ αναστάτωσης και ταλαιπωρίας που υφίστανται τα υποκείμενα των δεδομένων και θεωρώντας την υιοθέτηση Τεχνικών και Οργανωτικών Μέτρων (TOM) ως εξισορροπητική άσκηση δικαιωμάτων διενεργείται από τον ελεγκτή. Η συλλογιστική του Δικαστηρίου βασίζεται στη συμφιλίωση του απώτερου στόχου του GDPR – ένα υψηλό επίπεδο προστασίας των δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων – με την πραγματικότητα των κινδύνων επεξεργασίας δεδομένων και της εγγενούς ανασφάλειας στον κυβερνοχώρο.
Ο GDPR ως σύστημα (κυβερνο) διαχείρισης κινδύνων (Q1)
Το Δικαστήριο διαπιστώνει ότι, δεδομένου ότι ο GDPR είναι ένα σύστημα διαχείρισης κινδύνων που βασίζεται σε ΤΟΜ και είχε σκοπό να μετριάσει τους κινδύνους αντί να τους εξαλείψει (παράγραφοι 29 και 38), η εμφάνιση παραβίασης δεν αρκεί για να αποδείξει ότι τα TOM εφαρμόζονται από έναν υπεύθυνο επεξεργασίας δεδομένων σύμφωνα με τα άρθρα 24 και 32 GDPR είναι ακατάλληλα (παράγραφος 31). Για να υποστηρίξει το ζήτημα, το Δικαστήριο επιδίδεται σε μια αυτόνομη και ομοιόμορφη ερμηνεία των άρθρων 24 σχετικά με την ευθύνη του υπεύθυνου επεξεργασίας και 32 σχετικά με την ασφάλεια της επεξεργασίας (σκέψεις 23-28). Αυτά, όπως συμπληρώνονται από τις αιτιολογικές σκέψεις 74, 76 και 83, παρέχουν κριτήρια για την καταλληλότητα των ΤΟΜ, τα οποία πρέπει να αξιολογούνται συγκεκριμένα, λαμβάνοντας υπόψη τις ανάγκες και τους κινδύνους της επεξεργασίας (σκέψεις 30-36).
Η κυριολεκτική ερμηνεία υποστηρίζεται από το πλαίσιο και την τελεολογία: η εξίσωση μιας κυβερνοεπίθεσης με την ακαταλληλότητα των TOM και η υπόθεση ότι ο ελεγκτής είναι υποχρεωμένος να αποτρέψει επιθέσεις θα στερούσε από τον ελεγκτή την ικανότητά του να προσκομίσει στοιχεία και να αψηφήσει τη λογική των άρθρων 24, 32 και 82 ( 2) και (3), με το τελευταίο να παρέχει απαλλαγή από την ευθύνη εάν ο υπεύθυνος επεξεργασίας μπορεί να αποδείξει ότι δεν είναι υπεύθυνος «με κανέναν τρόπο» (σκέψεις 31, 37-38).
Η προστασία του GDPR εξαρτάται από τα μέτρα ασφαλείας που υιοθετεί ο υπεύθυνος επεξεργασίας δεδομένων, ο οποίος είναι υπεύθυνος εκτός από αιτιώδη συνάφεια μεταξύ της παραβίασης και των ζημιών (Q3i και 4)
Ο στόχος του GDPR να παρέχει υψηλή προστασία στα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων υποστηρίζει μια ευρεία ερμηνεία της αρχής της λογοδοσίας και μια αντιστρόφως αυστηρά περιορισμένη ερμηνεία της απαλλαγής του υπεύθυνου επεξεργασίας από την ευθύνη (παράγραφος 73). Για να διατηρηθεί η αποτελεσματικότητα του άρθρου 82 παράγραφος 1, ο υπεύθυνος επεξεργασίας είναι αυτός που φέρει το βάρος της απόδειξης της καταλληλότητας των TOM υπό το φως της αρχής ασφαλείας που κατοχυρώνεται στο άρθρο 5 παράγραφος 1 στοιχείο στ) και των κανόνων γενικής εφαρμογής που περιέχονται στα άρθ. 24(1) και 32(1) που διακυβεύονται σε αγωγές αποζημίωσης (σκέψεις 50-52). Αν και δεν αναμένεται από τους ελεγκτές να αποτρέψουν επιθέσεις, πρέπει να ενθαρρύνονται να κάνουν ό,τι περνά από το χέρι τους, επειδή «η προστασία του GDPR εξαρτάται από τα μέτρα ασφαλείας που έχουν υιοθετηθεί» (παράγραφος 55).
Μια παραβίαση του GDPR που προκαλείται από «τρίτο μέρος» κατά την έννοια του άρθρου 4 παράγραφος 10 – όπως οι εγκληματίες στον κυβερνοχώρο που ευθύνονται για την παραβίαση προσωπικών δεδομένων – μπορεί να καταστεί δυνατή λόγω της αδυναμίας των υπευθύνων επεξεργασίας να συμμορφωθούν με τις υποχρεώσεις τους (παράγραφος 71). Σύμφωνα με μια αυστηρά περιορισμένη ερμηνεία της ρήτρας «με οποιονδήποτε τρόπο» στο άρθρο 82 παράγραφος 3, ο υπεύθυνος επεξεργασίας απαλλάσσεται από την ευθύνη εάν δεν υπάρχει αιτιώδης συνάφεια μεταξύ πιθανής παραβίασης και της ζημίας που υπέστη (σκέψεις 70-72).
Η καταλληλότητα των TOM πρέπει να ελέγχεται ουσιαστικά από ένα εθνικό δικαστήριο και δεν μπορεί να συναχθεί από έκθεση πραγματογνωμοσύνης (Ε2 και 3ii)
Μολονότι ο υπεύθυνος επεξεργασίας έχει διακριτική ευχέρεια κατά την υιοθέτηση των ΤΟΜ, η αξιολόγηση της καταλληλότητας του «επιπέδου ασφάλειας» ενός ΤΟΜ (παράγραφος 41) ως προς τον κίνδυνο επεξεργασίας υπόκειται σε ουσιαστική αξιολόγηση δύο σταδίων από ένα εθνικό δικαστήριο με στόχο διασφάλιση αποτελεσματικής προστασίας (παρ. 42, 44). Με βάση τη διατύπωση του άρθρου 32 και με ένα νεύμα στις γραπτές παρατηρήσεις της Πορτογαλίας (σημείωση 17), η επανεξέταση ξεκινά με συγκεκριμένη εκτίμηση της πιθανότητας και της σοβαρότητας παραβίασης δεδομένων και των πιθανών συνεπειών για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων (παράγραφος 42 ). Ακολουθεί αξιολόγηση της καταλληλότητας των TOM με βάση σύνθετους παράγοντες (σύνδεση της τεχνολογίας, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς αυτής της επεξεργασίας) (παράγραφος 42). Η ανάγκη για ουσιαστική αξιολόγηση που λαμβάνει υπόψη τις περιστάσεις, τα αποδεικτικά στοιχεία και τα θεσμικά κριτήρια υποστηρίζεται από μια σκόπιμη ανάγνωση του GDPR υπό το φως των προσδοκιών για αποτελεσματική προστασία και διαθεσιμότητα δικαστικών μέσων που περιλαμβάνονται στις αιτιολογικές σκέψεις 11, 74, άρθρο 79 (1) και αιτιολογική σκέψη 11 (παράγραφοι 45-46).
Δεδομένου ότι η συγκεκριμένη ανάλυση του εθνικού Δικαστηρίου πρέπει να περιλαμβάνει τους κινδύνους που συνδέονται με την επεξεργασία και την καταλληλότητα της φύσης, του περιεχομένου και της εφαρμογής των TOM, δεν προκαλεί έκπληξη το γεγονός ότι το ΔΕΚ κρίνει ενάντια σε έναν εθνικό διαδικαστικό κανόνα που απαιτεί συστηματικά έκθεση εμπειρογνωμόνων (παράγραφος 64). Σύμφωνα με την αρχή της δικονομικής αυτονομίας που συζητήθηκε στην Österreichische Post AG , εναπόκειται στο νομικό σύστημα των κρατών μελών να ρυθμίσει την αποδοχή και την αποδεικτική αξία των αποδεικτικών στοιχείων ελλείψει σχετικών διατάξεων της ΕΕ (παράγραφος 60). Ένας εθνικός κανόνας που απαιτεί συστηματικά την υποβολή έκθεσης εμπειρογνωμόνων παραβιάζει την αρχή της αποτελεσματικότητας, σύμφωνα με την οποία δεν μπορεί να είναι υπερβολικά δύσκολη ή αδύνατη η άσκηση ενός δικαιώματος, όπως ορίζεται στην απόφαση Österreichische Post AG (σκέψη 59, 61). Μια έκθεση μπορεί να είναι περιττή, για παράδειγμα, σε σχέση με πρόσφατη επανεξέταση της συμμόρφωσης με τους ΤΟΜ από μια εποπτική αρχή, ή αλλιώς επιζήμια για την αντικειμενική αξιολόγηση ενός δικαστηρίου (παράγραφος 62). Έχοντας κατά νου το δικαίωμα σε αποτελεσματικό ένδικο μέσο, ένα αμερόληπτο δικαστήριο «δεν μπορεί να περιοριστεί σε… έκπτωση» (παράγραφος 63).
Ο βάσιμος και συγκεκριμένος φόβος για μελλοντική κατάχρηση δεδομένων μπορεί να χαρακτηριστεί ως ηθική βλάβη (Ε5)
Οι δικαστές του τρίτου τμήματος υποστηρίζουν επίσης τις τρεις προϋποθέσεις αποζημίωσης που προσδιορίζονται στην Österreichische Post AG (παράγραφος 77) και διαπιστώνουν ότι ο φόβος πιθανής, μελλοντικής κατάχρησης δεδομένων μετά από πειρατεία μπορεί, υπό το φως του απώτερου στόχου του GDPR, να συνιστά μη υλικές ζημιές. Μια ευρεία ερμηνεία της έννοιας της ζημίας υποστηρίζεται από τη διατύπωση του άρθρου 82 παράγραφος 1, που δεν κάνει διάκριση μεταξύ πραγματικής και δυνητικής ζημίας, και των αιτιολογικών σκέψεων 146 και 85, η οποία αναφέρεται συγκεκριμένα στην απώλεια ελέγχου των δεδομένων κάποιου (παρ. 79-82). Η διαπίστωση του φόβου ως ηθικής βλάβης εναπόκειται στα εθνικά δικαστήρια (παράγραφος 84). Σε αντίθεση με το AG, το ΔΕΚ δεν προτείνει πώς να γίνει διάκριση μεταξύ αναστάτωσης και ταλαιπωρίας, αλλά απλώς σημειώνει ότι ο φόβος πρέπει να είναι βάσιμος σε μια συγκεκριμένη περίπτωση και για ένα συγκεκριμένο υποκείμενο δεδομένων (παράγραφος 84).
Η εγκαθίδρυση «βάσιμου» φόβου στην πράξη μπορεί να αποδειχθεί αμφιλεγόμενη. Οι γραπτές παρατηρήσεις της Ιρλανδίας (σημείωση 39) επισημαίνουν τον σημαντικό αντίκτυπο της χορήγησης αποζημίωσης σε κάθε άτομο που πλήττεται από παραβίαση δεδομένων του δημόσιου τομέα, υπό το φως των περιορισμένων πόρων που θα πρέπει να κατευθυνθούν, μεταξύ άλλων, στη βελτίωση της ασφάλειας των προσωπικών δεδομένων – σχετική παρατήρηση υπό το φως της κυβερνοεπίθεσης HSE του 2021 .
Αξιοσημείωτες απουσίες: προστασία της ιδιωτικής ζωής και εκτιμήσεις που βασίζονται στη Χάρτα για την ουσία
Η απόφαση θα πρέπει να περιέχει λίγες εκπλήξεις για όσους είναι εξοικειωμένοι με τις απαιτήσεις ασφαλείας του GDPR, στο βαθμό που η ανάλυση βασίζεται φειδωλά στη διατύπωση του κανονισμού. Η απόφαση περιέχει μετρημένες παρατηρήσεις σχετικά με τη σχέση μεταξύ του GDPR, της ασφάλειας και της ασφάλειας με βάση την αδυναμία εξάλειψης του εγκλήματος στον κυβερνοχώρο, μια καλά θεμελιωμένη στάση απέναντι στην τεχνολογική πραγματικότητα. Ενώ η διατήρηση των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων κατέχει εξέχουσα θέση στην απόφαση, ούτε η διοικητική αρχή Varhoven ούτε το ΔΕΚ βασίζονται στον Χάρτη των Θεμελιωδών Δικαιωμάτων (CFR). Η αποφυγή του Χάρτη μπορεί να βοηθήσει ενάντια στη « σκέψη περί απορρήτου », αλλά θα μπορούσε επίσης να αποτελεί χαμένη ευκαιρία.
Υπάρχουν ανοιχτά ερωτήματα ως προς την κεντρική θέση της «ασφάλειας» στο δικαίωμα στην προστασία των προσωπικών δεδομένων που κατοχυρώνεται στο άρθρο 8 του CFR και την ουσία του. Σύμφωνα με τα Digital Rights Ireland και τη Γνώμη 1/15 , η ουσία υποστηρίζεται από την ύπαρξη κανόνων που αποσκοπούν στη διασφάλιση, μεταξύ άλλων, της ασφάλειας, της εμπιστευτικότητας και της ακεραιότητας των επεξεργασμένων προσωπικών δεδομένων και την προστασία τους από παράνομη πρόσβαση και επεξεργασία. Αυτή φαίνεται να είναι μια διαδικαστική κατανόηση της ουσίας που δεν συνδέεται με την καταλληλότητα των κανόνων –και, κατ’ αρχήν, των TOM– για τη διασφάλιση της ασφάλειας, της εμπιστευτικότητας και της ακεραιότητας των δεδομένων που υπογραμμίζονται αντ' αυτού στην υπόθεση NAP. Η αποσύνδεση είναι θεμελιώδης στο βαθμό που η παραβίαση της ουσίας συνιστά αυτόματη παραβίαση του δικαιώματος προστασίας δεδομένων, ενώ η υιοθέτηση ακατάλληλων TOM συνιστά παραβίαση του GDPR εκθέτοντας τον υπεύθυνο επεξεργασίας σε κυρώσεις. Ποια σχέση μπορεί να διαπιστωθεί μεταξύ της συμπερίληψης κανόνων για την ασφάλεια, την ακεραιότητα και το απόρρητο σε νομική βάση και την υιοθέτηση κατάλληλων TOM από έναν υπεύθυνο επεξεργασίας δεδομένων; Αυτό απαιτεί μια ανάλυση που αποκαλύπτει ένα επικίνδυνο κενό στην αρχιτεκτονική της νομοθεσίας περί προστασίας δεδομένων.
Σχετικά με τον GDPR, τα TOM και τα κενά: τα κατάλληλα TOM θα πρέπει να επιλέγονται σε συντονισμένη βάση σε επίπεδο ΕΕ
Μεταξύ των σημείων της AG που δεν ελήφθησαν υπόψη από το ΔΕΚ περιλαμβάνονται σχόλια σχετικά με τη φύση της «στάθμης της τεχνολογίας» (SoA) και της «πιστοποίησης». Το SoA εμφανίζεται στο άρθρο 25 για την προστασία δεδομένων από το σχεδιασμό και το άρθρο 32 για την ασφάλεια της επεξεργασίας και η γνώμη αναφέρεται στις «λύσεις που προσφέρει η τελευταία λέξη της τεχνολογίας στην επιστήμη, την τεχνική, την τεχνολογία και την έρευνα εκείνη την εποχή, λαμβάνοντας επίσης υπόψη… το κόστος υλοποίησης» (παράγραφος 32). Το SoA αναφέρεται στην πιο προηγμένη κατάσταση της τεχνολογίας και είναι απροσδιόριστο, αλλά κρίσιμο για τα TOM και την αρχιτεκτονική του GDPR.
Με λίγα λόγια (με πλήρη επεξήγηση σε μονογραφία και συνοπτικό άρθρο ), τα TOM πρέπει να επιλέγονται σύμφωνα με το SoA. Ωστόσο, δεν υπάρχει κατάλογος TOM που να είναι συμβατοί με το SoA, κυρίως για δύο λόγους: λόγω του παραδείγματος της τεχνολογικής ουδετερότητας που είναι κεντρικό στον GDPR και επειδή ο GDPR αφορά την τεχνολογική χρήση και όχι την τεχνολογική ανάπτυξη. Τα τεχνικά μέτρα τείνουν να βασίζονται σε λογισμικό και το λογισμικό παραδοσιακά δεν αποτελεί μέρος του Νέου Νομοθετικού Πλαισίου , το οποίο έχει θέσει ιστορικά παραμέτρους για την ανάπτυξη τεχνολογίας, συμβάλλοντας περαιτέρω σε καθυστερήσεις στην αντιμετώπιση των ζητημάτων ακεραιότητας και εμπιστευτικότητας, παρά τη σημασία τους για την ασφάλεια. Σκεφτείτε τις επιθέσεις στον κυβερνοχώρο κατά κρίσιμων υποδομών και το κυβερνοέγκλημα ως υπηρεσία , γεγονός που έχει μειώσει σημαντικά τα εμπόδια εισόδου για τους παραβάτες στον κυβερνοχώρο.
Το SoA βασίζεται εξ ολοκλήρου στον μηχανισμό τυποποίησης που βασίζεται στην αγορά, στον οποίο οι εταιρείες Big Tech, συμπεριλαμβανομένων των κύριων αποδεκτών του GDPR, διαδραματίζουν κεντρικό ρόλο. Το βάρος της επιλογής των TOM βαρύνει τους ελεγκτές. Σημειώστε ότι οι σημαντικοί προγραμματιστές τεχνολογίας είναι πιθανό να έχουν συμβάλει τόσο στη δημιουργία προτύπων όσο και στη δημιουργία TOM, ενώ άλλοι ελεγκτές θα είναι απλώς υιοθέτες TOM. Η επιλογή TOM κατάλληλων για ασφάλεια είναι ιδιαίτερα δύσκολη, δεδομένης της γνώμης των ειδικών ότι η κυβερνοασφάλεια είναι μια αγορά για λεμόνια . Οι κατευθυντήριες γραμμές EDPB 01/2021 σχετικά με τα παραδείγματα σχετικά με την ειδοποίηση παραβίασης δεδομένων έχουν δεχθεί, σύμφωνα με πληροφορίες, επικρίσεις για το χάσμα μεταξύ των ρυθμιστικών προσδοκιών και της πρακτικής του κλάδου.
Λάβετε υπόψη ότι, επειδή ο GDPR δεν αποτελεί μέρος του Νέου Νομοθετικού Πλαισίου, τυχόν πρότυπα που υιοθετήθηκαν, συμπεριλαμβανομένου του προτύπου CEN-CENELEC του 2021 , δεν είναι ευρωπαϊκά υποχρεωτικά πρότυπα, δεν προορίζονται για δημοσίευση στην ΕΕ και δεν δημιουργούν τεκμήριο συμμόρφωσης. Ως εκ τούτου, η πιστοποίηση έναντι αυτών των προτύπων θα πρέπει να αντιμετωπίζεται με προσοχή όπως και η ικανότητα της σχετικής πιστοποίησης να πληροί τις απαιτήσεις λογοδοσίας των υπευθύνων επεξεργασίας δεδομένων. Αυτό είναι ξεχωριστό από τους μηχανισμούς πιστοποίησης που βασίζονται σε εποπτικές αρχές, οι οποίοι υποφέρουν από συγκεκριμένες προκλήσεις .
Σε αυτό το πλαίσιο, η ανάθεση αποκλειστικά στα εθνικά δικαστήρια με την απόφαση σχετικά με το ποια TOM είναι κατάλληλα για τη διασφάλιση της ασφάλειας της επεξεργασίας κατά περίπτωση φαίνεται να είναι ιδιαίτερα προβληματική και ενδέχεται να δημιουργήσει κατακερματισμό στην εφαρμογή του GDPR. Αν και η λύση δεν χρειάζεται να είναι ειδική για την τεχνολογία σε νομοθετικό επίπεδο, η αξιολόγηση της τεχνολογικής καταλληλότητας έναντι των κινδύνων ασφαλείας θα συντονιζόταν καλύτερα από τα κράτη μέλη σε επίπεδο ΕΕ, με έναν νέο μηχανισμό που περιλαμβάνει αρχές με εμπειρογνωμοσύνη σε νομοθετικά πλαίσια με συνάφεια με την ασφάλεια στον κυβερνοχώρο.
Εν τω μεταξύ, στο βαθμό που οι κανόνες για την ασφάλεια, την ακεραιότητα και το απόρρητο των δεδομένων –η σημασία των οποίων καθορίζεται από την αγορά– αποσυνδέονται από την καταλληλότητα των TOM που υποτίθεται ότι παρέχουν κίνητρα, η ουσία του δικαιώματος Η προστασία των προσωπικών δεδομένων θα παραμείνει καθοδηγούμενη από την αγορά, εις βάρος του υψηλού επιπέδου προστασίας των δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων.