gdpr nuwe regerende blog

Waarom 'n nuwe wetlike beslissing die GDPR-nakoming kan verskerp

Desember het een van die grootste veranderinge aan Europese dataprivaatheidsregulasie in onlangse geheue gehad. Na 'n versoek van Duitse en Litause howe het die Europese Hof van Justisie (ECJ) 'n nuwe uitspraak uitgereik om te verduidelik wanneer en hoe reguleerders maatskappye kan beboet vir die oortreding van dataprivaatheidswette.

Regs- en sekuriteitskenners voer aan die uitspraak sal dit makliker maak vir reguleerders om databeskermingsregulasies af te dwing, wat moontlik tot hoër GDPR-boetes sal lei. Gevolglik is daar groter druk op voldoeningspanne om te verseker dat hul firmas persoonlike data op 'n wettige wyse stoor en verwerk.

Regulerende impak

In Duitsland het reguleerders die eiendomsfirma Deutsche Wohnen met € 14.4 miljoen beboet vir die stoor van klantdata vir langer as wat nodig is. Intussen het die Litause hof die land se Nasionale Openbare Gesondheidsentrum met € 12,000 en sy IT-diensverskaffer € 3000 beboet oor 'n Covid-19-kontakopsporing-app wat die GDPR oortree het. Albei organisasies het die boetes betwis, wat daartoe gelei het dat plaaslike howe duidelikheid van die ECJ oor die aangeleenthede versoek het.

Dit het beslis dat databeskermingsreguleerders slegs GDPR-boetes kan oplê vir "verkeerde optrede", waardeur 'n maatskappy GDPR "opsetlik of nalatig" oortree het. En wanneer 'n organisasie beboet word, moet reguleerders finansiële boetes bereken op grond van sy moedergroep se jaarlikse omset, indien van toepassing.

Sedert die ECJ sy landmerklike GDPR-beslissing gemaak het, is daar baie bespiegeling oor hoe dit dataregulasies regoor Europa sal beïnvloed. Deur die besluit uiteen te sit, verduidelik Ensurety se besturende direkteur, Keith Budden, dat dit twee hoofdimensies het.

Eerstens sê hy reguleerders kan GDPR-boetes uitreik, selfs al kan hulle nie bepaal hoe een persoon se optrede 'n data-oortreding veroorsaak het nie. Tweedens verduidelik hy dat maatskappye regulatoriese optrede in die gesig kan staar as 'n individu of organisasie wat hulle verteenwoordig, soos 'n subverwerker of 'n individuele kontrakteur, databeskermingsreëls oortree.

"Dit sal makliker word vir reguleerders om 'n finansiële boete op 'n organisasie op te lê," sê hy aan ISMS.online. “En die omvang van aanspreeklikheid het toegeneem deurdat dit die weg gebaan het vir 'n databeheerder om beboet te word, selfs wanneer die oortreding van GDPR-regulasies beperk is tot die aktiwiteit van een van sy dataverwerkers, of inderdaad een van hul sub- verwerkers.”

Kelly Indah, 'n sekuriteitsontleder by Increditools, glo dat die ECJ se Desember-beslissing die manier waarop reguleerders databeskermingsreëls afdwing, “aansienlik” sal versterk.

"Volgens die uitspraak het reguleerders meer speelruimte om boetes te hef wat betekenisvolle afskrikmiddels is, eerder as om 'n sekere persentasie van die jaarlikse omset te beperk," sê sy aan ISMS.online. “Boonop stroomlyn die besluit regulatoriese prosesse sodat owerhede vinnig kan optree wanneer nie-nakoming ontdek word.”

Irwin Mitchell-vennoot en databeskermingskenner Joanne Bone is meer skepties oor die uitspraak se algehele impak.

"Hoewel dit aanspreeklikheid in jurisdiksies kan vergroot waar toesighoudende owerhede moes bewys dat die bestuur skuldig was om 'n maatskappy of organisasie te beboet, sal hierdie beslissing geen verrassing in die VK wees nie," sê sy aan ISMS.online.

"Na my mening het dit nie die landskap wesenlik verskuif ten opsigte van boetes onder EU-GDPR nie."

Bone sê die ECJ se onlangse besluit sal nie tot strenger aanspreeklikheid lei nie, wat beteken dat owerhede net boetes kan oplê wanneer hulle 'n oortreding vind. Sy voeg by: “Dit is nou duidelik dat daar opsetlike of nalatige optrede aan die kant van die maatskappy of organisasie moet wees.”

Die belangrikheid van nakoming

Die uitspraak kan egter steeds meer druk op maatskappye plaas om te verseker dat hulle voldoende databeskermingsbeleide en -prosesse in plek het. Veral maatskappye sal 'n reeks beleide, prosedures en kontroles moet implementeer om hul personeel te help om data te hanteer sonder om databeskermingsreëls te oortree, voer Bone aan.

"Nie net sal prosedures in plek gestel moet word nie, maar dit sal uitgerol, nagekom en deur organisasies gepolisieer moet word," voeg sy by.

Increditools se Indah verduidelik dat die aanvaarding van 'n inligtingsekuriteitbestuurstelsel (ISMS) wat internasionale kuberveiligheidstandaarde soos ISO 27001 volg, 'n groot hulp in hierdie verband kan wees.

"Dit bied 'n sistematiese, ouditeurvriendelike manier om te verseker dat alle aspekte van voldoening aan databeskerming deurlopend aangespreek word deur hersiening en verbetering," sê sy. "Met reguleerders wat moeiliker gaan, kan die demonstrasie van 'n verbintenis tot rentmeesterskap deur sertifisering net help om goeie trou pogings te demonstreer."

Indah is van mening dat dit nie meer genoeg is vir organisasies om databeskerming as 'n regmerkie-nakomingstaak te hanteer nie. Sy sê organisasies moet gereeld interne en eksterne databeskermingsoudits uitvoer, werknemers oplei om data verantwoordelik te hanteer, en leierskapvlaktoewyding toon om die jongste databeskermingsregulasies te verstaan.

"Eerder as om hoër boetes te vrees, sal maatskappye goed doen om robuuste sekuriteitspraktyke as 'n mededingende geleentheid en sakebemiddelaar te aanvaar," voeg Indah by. “Die alternatief hou immers reputasieskade, regulatoriese boetes en verlies aan kliëntevertroue in gevaar – wat op die lang termyn die winspunt baie ernstiger kan beïnvloed.”

Ensurety's Budden doen 'n beroep op maatskappye om opgedateerde rekords van hul dataverwerkingsaktiwiteite te hou en personeel van databeskermingsopleiding te voorsien om aan hul regulatoriese databeskermingsvereistes te voldoen. Ander take sluit in die implementering van alle vereiste databeleide en -prosedures, die voltooiing van bygewerkte databeskermingsimpakbeoordelings, en om te verseker dat hulle alle tegniese en organisatoriese maatreëls wat deur reguleerders uiteengesit is, aangeneem het.

Vance Tran, medestigter van Pointer Clicker, stem saam dat ISO 27001 'n goeie basis bied vir die nakoming van databeskermingsregulasies. Maar hy sê organisasies kan hierop uitbrei deur privaatheidstegnologieë, DevSecOps-modelle en 'n privaatheidsbewuste maatskappykultuur aan te neem.

Hy voeg by: “Ek sien hierdie uitspraak as ’n geleentheid. Deur vooraf etiese, gebruikergesentreerde oplossings te prioritiseer, kan ontwikkelaars nie net aan wetlike reëls voldoen nie, maar ook werklike gebruikersvertroue bou. Dit is 'n opwindende kans om stelsels te help skep wat gegrond is op privaatheid en toestemming van die grond af.”

In vandag se hoogs gedigitaliseerde ekonomie hanteer besighede 'n steeds groeiende hoeveelheid persoonlike data. Alhoewel hierdie data nuttig is om kliënte beter te verstaan ​​en te teiken, loop dit ondernemings in gevaar van stewige boetes as hulle nie databeskermingsreëls streng nakom nie.

 

skrywer

Nicholas Fearn

Nicholas Fearn is 'n vryskutjoernalis van die Walliese Vallei. Hy is geskryf vir groot media-afsetpunte soos die Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost en Insider, sowel as B2B-publikasies soos Computer Weekly, Computing en IT Pro. Wanneer Nic nie oor die nuutste gadgets en tegnologieneigings skryf nie, luister hy waarskynlik na Mariah Carey se hele diskografie.

Sien alle plasings deur Nicholas Fearn

Verwante poste

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind