APD与金融部门
APD(比利时数据保护当局)特别关注金融部门的PII处理。
原因:金融机构处理最敏感的PII:
- 银行账户信息
- 税号
- 信用评分数据
- 贷款历史
APD的立场:金融机构有最高的责任来保护这些数据。
IAB欧洲案例
APD最近进行了关于IAB欧洲(互联网广告局欧洲)的调查。
IAB欧洲是一个代表在线广告公司的贸易组织。IAB欧洲创建了一个框架,用于在线广告中的cookie同意。
APD和其他DPA说:该框架违反GDPR。
主要问题:
-
同意不是真实自由的
- 同意屏幕让"接受所有"过于容易
- "拒绝所有"被隐藏或困难
-
关于广告的信息是不清楚的
- 用户不被告知广告公司有多少个
- 用户不被告知数据共享对象
-
没有真实的选择
- 许多网站不允许真正拒绝所有cookie
- "拒绝所有"选项被删除或禁用
APD罚款IAB欧洲和采用该框架的网站。
NIS2指令
APD也开始执行NIS2(网络和信息系统安全指令2)。
NIS2要求关键基础设施运营商(包括金融机构)实施强有力的网络安全措施。
与GDPR的关系:
- GDPR关于数据保护
- NIS2关于网络安全
- 两者都适用于金融机构
APD的立场:网络安全失败导致数据泄露。金融机构必须同时遵守GDPR和NIS2。
APD对金融部门的要求
-
强有力的访问控制
- 并非所有员工都有所有账户访问权
- 多因素身份验证
- 审计日志
-
加密
- 传输中的数据加密
- 静止数据加密
-
数据最小化
- 不收集超过必要的数据
- 不保留超过需要的数据
-
合规培训
- 定期GDPR培训
- 特别是关于PII处理
底线
APD对金融部门的关键要求是:强有力的安全、清晰的同意和实际的用户控制。
来源: