APD Белгија: IAB, финансии и NIS2
Белгискиот орган за заштита на податоци зазема посебно место во ЕУ. Земјата ги домаќинува седиштата на ЕУ и НАТО. Таа има повеќе глобални банки и финансиски институции отколку кој и да е друг ЕУ член освен Луксембург. Тоа му дава на Autorité de protection des données/Gegevensbeschermingsautoriteit (APD/GBA) широк опсег и авторитет.
Одлуката за IAB Europe
Во февруари 2022 г. белгискиот регулатор пресуди против IAB Europe. Предметот се однесуваше на Рамката за транспарентност и согласност (TCF). TCF управува со околу 220 милијарди евра годишна ЕУ дигитална реклама.
Наодите на органот: TCF низата за согласност е лични податоци. Таа е поврзана со псевдонимниот идентификатор на корисникот. IAB Europe беше именован за заеднички контролор. Тоа го направи одговорен за начинот на кој издавачите и рекламните фирми ги употребуваат тие податоци.
Глобата од 250.000 евра беше скромна. Вистинскиот ефект беше многу поголем. Органот наложи целосен редизајн на TCF. Секој ЕУ издавач кој користи алатка за согласност го почувствува тоа. Исто така и секој рекламен купувач.
Поуката: технологија на цела индустрија може да го прекрши GDPR. Не се работи само за поединечни фирми. Целиот синџир може да биде повикан на одговорност. Ниту еден член во тој синџир не е безбеден од преглед.
Финансискиот сектор: NIS2 и GDPR заедно
Во Белгија имаат седиштата Европскиот банкарски орган, EIOPA и глобалниот центар SWIFT. Банките и осигурителите мора да ги исполнат и GDPR член 32 и NIS2 член 21. Двата закона имаат многу заедничко.
NIS2 член 21 утврдува:
- Проверки на ризик во човечките, физичките и дигиталните области
- Пријавување на инциденти во рок од 24 часа
- Планови за деловна обнова
- Проверки на безбедноста на синџирот на снабдување
- Шифрирање на податоци во движење и на чување
- Мултифакторна контрола на пристап
GDPR член 32 утврдува:
- Маскирање и шифрирање на лични записи
- Способност за враќање на пристапот по инцидент
- Редовно тестирање на безбедносните контроли
- Технички заштитни мерки засновани на ризик
Тие контроли се наоѓаат и во двата закона: шифрирање, контрола на пристап, реакција на инциденти и проверки на синџирот на снабдување. Силните програми за GDPR член 32 ги покриваат повеќето барања на NIS2 член 21. Еден интегриран сет на контроли е најефикасниот пат. Видете го нашиот GDPR-водич за усогласеност за целосен преглед на двата закона.
Извршување во 2024 г.: Клучни теми
Белгискиот регулатор издаде 82 одлуки во 2024 г. Предметите во финансискиот сектор пораснаа за 56% во споредба со 2023 г. Четири теми се издвојуваат.
Профилирање без согласност: Банки кои ги употребуваат трансакциските податоци за анализа на трошење или понуди за производи мора да ги исполнат GDPR-правилата. Органот го отфрли „подобрувањето на услугата" како валидна причина кога профилирањето се темели на такви податоци.
AI за кредитно оценување: GDPR член 22 ги уредува автоматизираните кредитни одлуки. Тој бара човечки преглед и јасни причини. Неколку финтек-фирми немале такви заштитни мерки. Ова беше клучна точка на фокус.
Спојување на записи по припојувања: Банки кои ги споиле записите по откуп честопати ги нарушиле правилата за намена. Оригиналната согласност не ја покривала новата комбинирана употреба.
Аутсорсинг без инструменти за трансфер: Фирми кои ја испратиле IT-работата до трети земји без соодветни правни инструменти наишле на мерки. Предметите опфаќале Индија, Мароко и Филипини.
За фирми со белгиски банкарски операции: интегрираните контроли за GDPR и NIS2 се најдобрата одбрана пред ревизија. Нашиот преглед на безбедност и усогласеност покрива како zero-knowledge дизајнот ја намалува изложеноста при самиот извор.