Белгийският Autorité de protection des données/Gegevensbeschermingsautoriteit (APD/GBA) заема необичайна позиция сред ОЗД на ЕС. Белгия е домакин на централата на ЕС, централата на NATO и повече международни финансови институции, отколкото всяка друга страна от ЕС с изключение на Люксембург. Следователно APD е както фактическият бенчмарк за съответствие на GDPR във финансовия сектор, така и надзорният орган за най-последователното рамково решение за съгласие на континента.
Решението на IAB Europe: Най-последователното решение на APD
Решението на APD от февруари 2022 г. срещу Рамката за прозрачност и съгласие (TCF) на IAB Europe засегна механизма, който е в основата на приблизително 220 милиарда евро в европейска дигитална реклама годишно.
Какво откри APD: „Низът за съгласие“ на TCF — сигналът за наддаване в реално време, кодиращ предпочитанията за проследяване на потребителите, използвани от всеки голям издател в ЕС — представлява лични данни, тъй като се свързва с псевдонимния идентификатор на потребителя. Беше установено, че IAB Europe е съвместен администратор на тези данни, отговорен за начина, по който стотици хиляди издатели и оференти ги обработват.
Глобата от 250 000 евро беше символична. Последващото изискване беше основно преработване на TCF — засягащо всеки издател в ЕС, използващ платформи за управление на съгласие, всеки програмен рекламодател и всеки доставчик на рекламни технологии на европейския пазар.
За професионалистите по съответствието: решението APD показва, че инфраструктурата в целия сектор може да наруши GDPR, а не само отделни организации.
Финансовият сектор на Белгия: NIS2 + GDPR двойно съответствие
Белгия е домакин на Европейския банков орган (EBA), EIOPA и глобалната централа на SWIFT. Белгийските финансови институции трябва да отговарят както на член 32 на GDPR, така и на член 21 на NIS2 (киберсигурност за основни услуги). Двете рамки се припокриват значително:
Изисквания по член 21 на NIS2 за основни финансови услуги:
- Управление на риска, обхващащо човешки, физически и цифрови рискове
- Обработване на инциденти с 24-часово първоначално докладване
- Непрекъснатост на бизнеса и възстановяване след бедствие
- Оценки на сигурността на веригата за доставки
- Криптиране на данни в транзит и в покой
- Многофакторно удостоверяване за контрол на достъпа
GDPR Изисквания на член 32:
- Псевдонимизация и криптиране на лични данни
- Възможност за възстановяване на достъпа до лични данни след инциденти
- Тестване и оценка на мерките за сигурност
- Съобразени с риска технически мерки
Припокриването е значително: криптиране, контрол на достъпа, реакция при инциденти и сигурност на веригата за доставки се появяват и в двете. Белгийските финансови институции, които прилагат член 32 на GDPR, напълно удовлетворяват по-голямата част от изискванията на член 21 на NIS2 — което прави интегрираната документация за съответствие най-ефективният подход.
APD Изпълнение през 2024 г.: Фокус върху финансовия сектор
APD издаде 82 решения за принудително изпълнение през 2024 г. — 56% увеличение спрямо 2023 г. в случаите във финансовия сектор. Теми за прилагане:
Поведенческо профилиране без подходящо съгласие: Белгийските финансови институции, използващи данни за клиентски транзакции за профилиране (анализ на разходите, моделиране на кредитоспособността, препоръка за продукти), трябва да отговарят на изискванията за законен интерес или изрично съгласие на GDPR. APD установи, че „подобряването на услугите“ е недостатъчно като законен интерес, когато профилирането използва данни за транзакции.
**Кредитен точкуване с изкуствен интелект: ** Автоматизираните кредитни решения съгласно GDPR член 22 изискват механизми за човешки преглед и възможност за обяснение. APD установи, че множество финтех компании използват AI кредитни модели без адекватни предпазни мерки по член 22.
**Маркетингова консолидация на база данни: ** Банки и застрахователни компании, които обединиха клиентски бази данни от придобивания — комбинирайки данни от различни обхвати на първоначално съгласие — често нарушаваха ограничението за целта на GDPR.
Повреди във веригата на подпроцесорите: Финансовите институции, които възложиха ИТ на трети държави (Индия, Мароко, Филипините) без адекватни механизми за прехвърляне и DPA, бяха изправени пред принудителни действия.
За организации с операции в белгийския финансов сектор: интегрирана документация за съответствие GDPR/NIS2, обхващаща криптиране, регистриране на достъпа, реакция при инциденти и оценка на подпроцесора, предоставя най-защитимата техническа позиция преди одита на APD.
Източници:
- APD/GBA: Белгийски орган за защита на данните
- APD: IAB Europe TCF Decision 2022
- [EBA: Ръководство за внедряване на NIS2] (https://www.eba.europa.eu)