Бельгийский Autorité de protection des données/Gegevensbeschermingsautoriteit (APD/GBA) занимает необычное положение среди DPA ЕС. Бельгия принимает штаб-квартиры ЕС, НАТО и больше международных финансовых учреждений, чем любая другая страна ЕС, за исключением Люксембурга. APD, следовательно, является одновременно де-факто ориентиром соответствия GDPR для финансового сектора и надзорным органом для наиболее значимого решения по платформам согласия на континенте.
Решение IAB Europe: наиболее значимое решение APD
Решение APD от февраля 2022 года против Transparency and Consent Framework (TCF) IAB Europe затронуло механизм, лежащий в основе примерно €220 млрд европейской цифровой рекламы ежегодно.
Что установил APD: «Строка согласия» TCF — сигнал ставок в режиме реального времени, кодирующий предпочтения пользователей по отслеживанию, используемый каждым крупным издателем ЕС — является персональными данными, поскольку она связана с псевдонимным идентификатором пользователя. IAB Europe был признан совместным контролёром этих данных, несущим ответственность за то, как сотни тысяч издателей и участников торгов их обрабатывают.
Штраф в €250 000 был символическим. Значимым требованием была фундаментальная переработка TCF — затронувшая каждого издателя ЕС, использующего платформы управления согласием, каждого программатик-рекламодателя и каждого поставщика рекламных технологий на европейском рынке.
Для специалистов по соответствию: решение APD демонстрирует, что общесекторная инфраструктура может нарушать GDPR, а не только отдельные организации.
Бельгийский финансовый сектор: двойное соответствие NIS2 + GDPR
Бельгия принимает Европейское банковское управление (EBA), EIOPA и глобальную штаб-квартиру SWIFT. Бельгийские финансовые учреждения должны удовлетворять как Статье 32 GDPR, так и Статье 21 NIS2 (кибербезопасность для основных услуг). Два фреймворка существенно пересекаются:
Требования NIS2 Статьи 21 для финансовых основных услуг:
- Управление рисками, охватывающее человеческие, физические и цифровые риски
- Обработка инцидентов с первоначальным отчётом в течение 24 часов
- Непрерывность бизнеса и аварийное восстановление
- Оценки безопасности цепочки поставок
- Шифрование данных при передаче и в состоянии покоя
- Многофакторная аутентификация для контроля доступа
Требования GDPR Статьи 32:
- Псевдонимизация и шифрование персональных данных
- Способность восстановить доступ к персональным данным после инцидентов
- Тестирование и оценка мер безопасности
- Технические меры, соразмерные риску
Пересечение существенно: шифрование, контроль доступа, реагирование на инциденты и безопасность цепочки поставок фигурируют в обоих. Бельгийские финансовые учреждения, комплексно реализующие GDPR Статью 32, выполняют большинство требований NIS2 Статьи 21 — что делает интегрированную документацию соответствия наиболее эффективным подходом.
Правоприменение APD в 2024 году: акцент на финансовый сектор
APD выдал 82 решения о правоприменении в 2024 году — рост на 56% по сравнению с 2023 годом в делах финансового сектора. Темы правоприменения:
Поведенческое профилирование без адекватного согласия: Бельгийские финансовые учреждения, использующие данные клиентских транзакций для профилирования (анализ расходов, моделирование кредитоспособности, рекомендации продуктов), должны удовлетворять требованиям GDPR о законных интересах или явном согласии. APD установил, что «улучшение услуг» недостаточно как законный интерес, когда профилирование использует данные транзакций.
Кредитный скоринг ИИ: Автоматизированные кредитные решения по Статье 22 GDPR требуют механизмов проверки человеком и объяснимости. APD выявил несколько финтех-компаний, использующих модели кредитного ИИ без адекватных мер защиты Статьи 22.
Консолидация маркетинговых баз данных: Банки и страховые компании, объединившие базы данных клиентов из поглощений — комбинируя данные из разных исходных областей согласия — часто нарушали ограничение цели GDPR.
Нарушения в цепочке субобработчиков: Финансовые учреждения, аутсорсившие ИТ в третьи страны (Индия, Марокко, Филиппины) без адекватных механизмов передачи и DPA, подверглись правоприменительным действиям.
Для организаций с бельгийскими операциями в финансовом секторе: интегрированная документация соответствия GDPR/NIS2, охватывающая шифрование, журналирование доступа, реагирование на инциденты и оценку субобработчиков, обеспечивает наиболее обоснованную техническую позицию перед аудитом APD.
Источники: