APD Бельгія: IAB, фінансовий сектор та NIS2
Бельгійський регулятор у сфері захисту даних займає особливе місце в ЄС. У країні розташовані штаб-квартири ЄС та НАТО. У Бельгії більше міжнародних банків і фінансових організацій, ніж у будь-якій іншій країні ЄС, за винятком Люксембургу. Це надає Autorité de protection des données/Gegevensbeschermingsautoriteit (APD/GBA) широкі повноваження та вплив.
Рішення щодо IAB Europe
У лютому 2022 року бельгійський регулятор ухвалив рішення проти IAB Europe. Справа стосувалася Системи прозорості та згоди (TCF). TCF забезпечує щорічний оборот цифрової реклами в ЄС обсягом приблизно €220 мільярдів.
Що встановив регулятор: рядок згоди TCF є персональними даними. Він прив'язаний до псевдонімного ідентифікатора користувача. IAB Europe було визнано спільним контролером. Це зробило організацію відповідальною за те, як видавці та рекламодавці використовують ці дані.
Штраф у розмірі €250 000 виявився незначним. Реальний вплив виявився набагато більшим. Регулятор зобов'язав повністю переробити TCF. Це відчув кожен видавець в ЄС, що використовує інструмент управління згодою. Як і кожен рекламодавець.
Висновок: галузева технологія може порушувати GDPR. Під загрозою знаходяться не лише окремі компанії. До відповідальності може бути притягнутий весь ланцюжок. Жодна його ланка не застрахована від перевірки.
Фінансовий сектор: NIS2 та GDPR разом
У Бельгії розташовані Банківський орган ЄС, EIOPA та глобальний хаб SWIFT. Банки та страховики там зобов'язані дотримуватися як статті 32 GDPR, так і статті 21 NIS2. Ці два закони мають багато спільного.
Стаття 21 NIS2 встановлює такі вимоги:
- Оцінка ризиків у сферах людського фактора, фізичної та цифрової безпеки
- Звіти про інциденти протягом 24 годин
- Плани відновлення бізнесу
- Перевірки безпеки в ланцюжку постачання
- Шифрування даних у русі та в стані спокою
- Багатофакторний контроль доступу
Стаття 32 GDPR встановлює такі вимоги:
- Маскування та шифрування персональних записів
- Можливість відновлення доступу після інциденту
- Регулярне тестування засобів контролю безпеки
- Технічні засоби захисту на основі оцінки ризиків
Ці засоби контролю присутні в обох законах: шифрування, контроль доступу, реагування на інциденти та перевірки ланцюжка постачання. Надійні програми відповідно до статті 32 GDPR задовольняють більшість вимог статті 21 NIS2. Єдиний інтегрований набір засобів контролю є найефективнішим підходом. Ознайомтеся з нашим посібником із відповідності GDPR для детального огляду обох законів.
Правозастосування у 2024 році: ключові теми
Бельгійський регулятор ухвалив 82 рішення у 2024 році. Кількість справ у фінансовому секторі зросла на 56% порівняно з 2023 роком. Виокремлюються чотири теми.
Профілювання без згоди: банки, що використовують дані про транзакції для аналізу витрат або пропозиції продуктів, зобов'язані дотримуватися правил GDPR. Регулятор відхилив «покращення сервісу» як обґрунтовану підставу, коли профілювання спирається на такі дані.
Кредитний скоринг на основі ШІ: стаття 22 GDPR регулює автоматизовані кредитні рішення. Вона вимагає перевірки людиною та чіткого обґрунтування. У кількох фінтех-компаній бракувало цих гарантій. Це стало ключовим предметом уваги.
Злиття даних після поглинань: банки, що об'єднували записи після поглинань, часто порушували правила про цілі обробки. Первісна згода не охоплювала нове комбіноване використання.
Аутсорсинг без інструментів передачі: компанії, що передавали ІТ-роботи до третіх країн без належних правових інструментів, зазнавали санкцій. Справи стосувалися Індії, Марокко та Філіппін.
Для компаній із бельгійськими банківськими операціями: інтегровані засоби контролю GDPR та NIS2 є найкращим захистом перед перевіркою. Наш огляд безпеки та відповідності пояснює, як дизайн з нульовим знанням усуває ризики в їхньому джерелі.
Джерела
- APD/GBA: Бельгійський орган захисту даних — VERIFIED-EXTERNAL
- APD: рішення щодо TCF IAB Europe, лютий 2022 — VERIFIED-EXTERNAL
- EBA: настанови щодо впровадження NIS2 — VERIFIED-EXTERNAL