Belgická Autorité de protection des données/Gegevensbeschermingsautoriteit (APD/GBA) zaujímá neobvyklé postavení mezi DPA v EU. Belgie je hostitelem sídel EU, sídel NATO a více mezinárodních finančních institucí než jakákoli jiná země EU kromě Lucemburska. APD je proto de facto referenčním bodem shody s GDPR pro finanční sektor i dozorčím orgánem pro nejdůsažnější rozhodnutí o rámci souhlasu na kontinentu.
Rozhodnutí IAB Europe: Nejdůsažnější rozhodnutí APD
Rozhodnutí APD z února 2022 proti rámci transparentnosti a souhlasu (TCF) IAB Europe transformovalo digitální reklamu:
Co APD zjistilo:
- TCF sbíral a zpracovával osobní data milionů uživatelů EU bez platného právního základu
- „Signál souhlasu TCF" byl sám o sobě osobním datem
- IAB Europe byl společným správcem dat pro zpracování TCF
Důsledky:
- 300+ stránek relying party dostalo upozornění od národních DPA
- Průmysl Real-Time Bidding (RTB) v hodnotě €220 miliard čelil fundamentálním překontrolování
- Reklamní technologické firmy musely přepracovat systémy souhlasu
Opatření k nápravě (do roku 2024):
- IAB Europe vydal TCF v2.2 s vylepšenými mechanismy souhlasu
- Pokuta €250 000 (nízká oproti průmyslovému dopadu, ale rozhodnutí mělo precedentní hodnotu)
Finančním sektorem Belgie: PII expozice a vymáhání
Belgie hostí 200+ mezinárodních finančních institucí zahrnujících:
- Sídlo SWIFT v La Hulpe
- Sedla ECB-propojené orgány
- 12 systémově důležitých bank EU
Pro tyto instituce přichází vymáhání APD v pěti primárních oblastech:
| Oblast vymáhání | Příklady případů 2023–2024 |
|---|---|
| Narušení dat | Úniky dat zákazníků vyžadující oznámení |
| Záznamy transakcí | Nadměrné uchovávání dat nad zákonné požadavky |
| KYC/AML zpracování | Zpracování bez řádné dokumentace právního základu |
| Automatizovaná rozhodnutí | Kreditní scoring bez vysvětlitelnosti GDPR článku 22 |
| Přeshraničné přenosy | Přenosy dat mimo EU bez odpovídajících záruk |
Duální shoda NIS2-GDPR pro finanční sektor
Směrnice NIS2 (účinná od října 2024) překrývá s GDPR pro finanční instituce:
NIS2 článek 21 (bezpečnostní opatření) vs. GDPR článek 32:
| Požadavek | NIS2 | GDPR |
|---|---|---|
| Hodnocení rizik | Ano (systémové) | Ano (pro PII) |
| Šifrování | Explicitní požadavek | „Vhodné technické opatření" |
| Přístupová kontrola | Explicitní požadavek | „Vhodné technické opatření" |
| Oznamování incidentů | 24 hodin (závažné) | 72 hodin |
| Řetězec dodavatelů | Výslovný požadavek | Implicitní v DPA |
Pro finanční instituce vytváří duální shoda NIS2-GDPR příležitost ke sjednocení kontrolních rámců — implementovat jednou, auditovatelnot dvěma regulátory.
Belgické PII identifikátory
Belgičtí zákazníci mají specifické identifikátory, které musí detekovat nástroje:
Numéro National/Rijksregisternummer:
- Formát: NN-LLMMJJ-PPP-CC (11 číslic)
- Algoritmus: číslo pojišťovny 97-modulo
- Výskyt: průkazy totožnosti, správa pojistných plnění, KYC
IBAN (Belgie):
- Formát: BEkk BBBB CCCC CCCC (16 znaků)
- 3místný kód banky (BBB) + 7místné číslo účtu + kontrolní číslice
Jak anonym.legal řeší belgickou finanční shodu
- Numéro National/Rijksregisternummer s modulo-97 validací
- Belgické IBAN s ověřením kódu banky
- Bilingvní FR/NL detekce pro belgický dokumentový kontext
- NIS2 kompatibilní šifrování s auditním zápisem
- Záznamy zpracování exportovatelné pro inspekce APD
Zdroje: Rozhodnutí APD IAB Europe (2022) · Pokyny ENISA k NIS2 · GDPR článek 32 — bezpečnostní opatření