APD Belgija: IAB, finansije i NIS2
Belgijski nadzorni organ za zastitu podataka zauzima jedinstveno mesto u EU. Zemlja je domacin sedista EU i NATO-a. Ima vise globalnih banaka i finansijskih tela nego bilo koja EU drzava osim Luksemburga. To daje Autoritel de protection des donnees/Gegevensbeschermingsautoriteit (APD/GBA) sirok doseg i uticaj.
IAB Europe odluka
U februaru 2022, belgijski regulator doneo je odluku protiv IAB Europe. Predmet se ticao Okvira za transparentnost i pristanak (TCF). TCF pokrece oko 220 milijardi evra EU digitalnog oglasavanja godisnje.
Sta je organ utvrdio: TCF string pristanka je licni podatak. Povezan je s korisnikovim pseudonimnim ID-om. IAB Europe je oznacen kao zajednicki rukovalac podacima. To ga je ucinio odgovornim za nacin na koji izdavaci i oglasne firme koriste te podatke.
Kazna od 250.000 evra bila je mala. Pravi uticaj bio je daleko veci. Organ je zahtevao potpunu reviziju TCF-a. Svaki EU izdavac koji koristi alat za upravljanje pristankom osecao je posledice. Kao i svaki kupac oglasa.
Poruka je jasna: tehnologija celog sektora moze da krsi GDPR. Nije u pitanju samo jedna firma. Ceo lanac moze biti pozvan na odgovornost. Nijedna karika tog lanca nije imuna na nadzor.
Finansijski sektor: NIS2 i GDPR zajedno
Belgija je domacin EU Bankarske agencije, EIOPA i SWIFT globalnog centra. Banke i osiguravajuce kompanije tamo moraju ispuniti i GDPR clan 32 i NIS2 clan 21. Ova dva zakona dele mnogo zajednickog.
NIS2 clan 21 propisuje sledece obaveze:
- Provere rizika u ljudskim, fizickim i digitalnim oblastima
- Izvestaji o incidentima podneti u roku od 24 sata
- Planovi oporavka poslovanja
- Provere bezbednosti lanaca snabdevanja
- Enkripcija podataka u prenosu i u mirovanju
- Visestruka autentifikacija pristupa
GDPR clan 32 propisuje sledece obaveze:
- Masking i enkripcija licnih podataka
- Mogucnost obnavljanja pristupa posle incidenta
- Redovno testiranje bezbednosnih kontrola
- Tehnicke zastite zasnovane na proceni rizika
Ove kontrole pojavljuju se u oba zakona: enkripcija, kontrola pristupa, odgovor na incidente i provere lanca snabdevanja. Jaki GDPR clan 32 programi ispunjavaju vecinu NIS2 clana 21 zahteva. Jedan integrisani skup kontrola je najefikasniji put. Pogledajte nas GDPR vodic za uskladjenost za detaljan pregled oba zakona.
Primena propisa u 2024: Kljucne teme
Belgijski regulator doneo je 82 odluke u 2024. godini. Predmeti u finansijskom sektoru porasli su za 56% u odnosu na 2023. Cetiri teme se isticu.
Profilisanje bez pristanka: Banke koje koriste podatke o transakcijama za analizu potrosnje ili ponude proizvoda moraju postovati GDPR pravila. Organ je odbacio "poboljsanje usluge" kao valjan razlog kada profilisanje zavisi od takvih podataka.
AI kreditni skoring: GDPR clan 22 regulise automatizovane kreditne odluke. Zahteva ljudski nadzor i jasna obrazlozenja. Nekoliko fintech firmi nije imalo te zastite. Ovo je bila kljucna oblast fokusa.
Spajanje podataka posle akvizicija: Banke koje su spojile evidencije posle kupovina cesto su krsile pravila o svrsi. Originalni pristanak nije pokrivao novu kombinovanu upotrebu.
Autsorsing bez alata za prenos: Firme koje su slale IT poslove trecim zemljama bez odgovarajucih pravnih alata suocile su se s merama. Predmeti su obuhvatali Indiju, Maroko i Filipine.
Za firme s belgijskim bankarskim operacijama: integrisane GDPR i NIS2 kontrole su najbolja odbrana pre revizije. Nas pregled bezbednosti i uskladjenosti pokriva kako zero-knowledge dizajn smanjuje izlozenost u korenu.