APD Белгия: IAB, финанси и NIS2
Белгийският надзорен орган за данни заема уникално място в ЕС. Страната е домакин на главните офиси на ЕС и НАТО. В нея се намират повече глобални банки и финансови органи, отколкото в коя да е друга страна от ЕС с изключение на Люксембург. Това дава на Autorité de protection des données/Gegevensbeschermingsautoriteit (APD/GBA) широк обхват и влияние.
Решението за IAB Europe
През февруари 2022 г. белгийският регулатор е постановил решение срещу IAB Europe. Случаят е бил свързан с Transparency and Consent Framework (TCF). TCF управлява около 220 милиарда евро в цифрова реклама в ЕС всяка година.
Какво е установил органът: Низът за съгласие на TCF е лични данни. Той е свързан с псевдонимния идентификатор на потребителя. IAB Europe е наречена съвместен администратор. Това я е направило отговорна за начина, по който издателите и рекламните фирми използват тези данни.
Глобата от 250 000 евро е малка. Реалното въздействие е много по-голямо. Органът е изискал пълно преструктуриране на TCF. Всеки издател в ЕС, използващ инструмент за съгласие, е усетил последствията. Същото важи за всеки рекламодател.
Урокът: цялата секторна технология може да наруши GDPR. Не само отделни фирми са изложени на риск. Цялата верига може да бъде подведена под отговорност. Нито едно звено не е защитено от проверка.
Финансов сектор: NIS2 и GDPR заедно
Белгия е домакин на Европейския банков орган (EBA), EIOPA и глобалния хъб на SWIFT. Банките и застрахователите там трябва да отговарят едновременно на изискванията на GDPR член 32 и NIS2 член 21. Двата закона имат много общи изисквания.
NIS2 член 21 установява следните правила:
- Проверки на риска в областта на хора, физическа сигурност и цифрова среда
- Уведомления за инциденти, подадени в рамките на 24 часа
- Планове за възстановяване на дейността
- Проверки за сигурност на веригата за доставки
- Криптиране на данни в движение и в покой
- Контрол на достъпа с многофакторна автентикация
GDPR член 32 установява следните правила:
- Маскиране и криптиране на лични данни
- Способност за възстановяване на достъпа след инцидент
- Редовно тестване на мерките за сигурност
- Технически защити, базирани на риска
Тези контроли се появяват и в двата закона: криптиране, контрол на достъпа, реакция при инциденти и проверки на веригата за доставки. Силните програми по GDPR член 32 покриват и повечето изисквания по NIS2 член 21. Един набор от интегрирани контроли е най-ефективният подход. Вижте нашето ръководство за съответствие с GDPR за пълен преглед на двата закона.
Прилагане през 2024 г.: ключови теми
Белгийският регулатор е издал 82 решения през 2024 г. Случаите в сферата на финансовия сектор са нараснали с 56% спрямо 2023 г. Открояват се четири теми.
Профилиране без съгласие: Банките, използващи данни за транзакции за анализ на разходи или предлагане на продукти, трябва да спазват правилата на GDPR. Органът е отхвърлил "подобряване на услугата" като валидна причина, когато профилирането разчита на такива данни.
AI кредитен скоринг: GDPR член 22 урежда автоматизираните кредитни решения. Той изисква човешки преглед и ясни мотиви. Няколко финтех компании не са разполагали с тези предпазни мерки. Това е бил ключов фокус.
Сливания на данни след придобивания: Банките, сляли данни след покупки, често са нарушавали правилата за цел. Първоначалното съгласие не е обхващало новата комбинирана употреба.
Аутсорсинг без инструменти за трансфер: Компании, изпратили IT работа в трети страни без подходящи правни инструменти, са изправени пред мерки. Случаите включват Индия, Мароко и Филипините.
За компании с белгийски банкови операции: интегрираните контроли по GDPR и NIS2 са най-добрата защита преди одит. Нашият преглед на сигурността и съответствието обяснява как дизайнът с нулево знание намалява риска от самия му извор.