gdpr ny herskende blog

Hvorfor en ny juridisk afgørelse kunne intensivere GDPR-overholdelsen

December så en af ​​de største ændringer i den europæiske databeskyttelsesforordning i nyere tid. Efter en anmodning fra tyske og litauiske domstole har EU-Domstolen (EFD) afsagt ny kendelse for at afklare, hvornår og hvordan tilsynsmyndigheder kan bøde virksomheder for at bryde love om databeskyttelse.

Juridiske og sikkerhedseksperter hævder, at dommen vil gøre det lettere for regulatorer at håndhæve databeskyttelsesforordninger, hvilket potentielt kan føre til højere GDPR-bøder. Som følge heraf er der øget pres på compliance-teams for at sikre, at deres firmaer opbevarer og behandler personoplysninger på en lovlig måde.

Regulerende virkning

I Tyskland har tilsynsmyndigheder idømt ejendomsmæglerfirmaet Deutsche Wohnen en bøde på 14.4 millioner euro for at opbevare kundedata i længere tid end nødvendigt. I mellemtiden havde den litauiske domstol idømt landets nationale folkesundhedscenter en bøde på €12,000 og dets it-tjenesteudbyder €3000 for en Covid-19-kontaktsporingsapp, der overtrådte GDPR. Begge organisationer bestred bøderne, hvilket fik lokale domstole til at anmode EF-Domstolen om klarhed i sagerne.

Den fastslog, at databeskyttelsesmyndigheder kun kan pålægge GDPR-bøder for "uretmæssig adfærd", hvorved en virksomhed "forsætligt eller uagtsomt" har overtrådt GDPR. Og når en organisation pålægges bøder, skal tilsynsmyndighederne beregne økonomiske bøder baseret på dens modergruppes årlige omsætning, hvis det er relevant.

Siden EU-Domstolen afsagde sin skelsættende GDPR-kendelse, har der været mange spekulationer om, hvordan det vil påvirke datareglerne i hele Europa. Ved at nedbryde beslutningen forklarer Ensuretys administrerende direktør, Keith Budden, at den har to hoveddimensioner.

For det første siger han, at regulatorer kan udstede GDPR-bøder, selvom de ikke kan afgøre, hvordan en persons handlinger forårsagede et databrud. For det andet forklarer han, at virksomheder kan blive udsat for regulering, hvis en person eller organisation, der repræsenterer dem, såsom en underdatabehandler eller en individuel kontrahent, overtræder databeskyttelsesreglerne.

"Det bliver lettere for regulatorer at pålægge en organisation en økonomisk straf," siger han til ISMS.online. "Og bredden af ​​ansvar er øget, idet det har banet vejen for, at en dataansvarlig kan idømmes bøder, selv når overtrædelsen af ​​GDPR-reglerne er begrænset til aktiviteten hos en af ​​dens databehandlere eller en af ​​deres underordnede databehandlere. processorer."

Kelly Indah, en sikkerhedsanalytiker hos Increditools, mener, at EF-domstolens afgørelse i december vil "væsentligt" styrke den måde, hvorpå regulatorer håndhæver databeskyttelsesregler.

"Ifølge dommen har tilsynsmyndighederne mere spillerum til at opkræve bøder, der er meningsfulde afskrækkende midler, i stedet for at begrænse en vis procentdel af den årlige omsætning," siger hun til ISMS.online. "Derudover strømliner beslutningen regulatoriske processer, så myndigheder kan handle hurtigt, når manglende overholdelse opdages."

Irwin Mitchells partner og databeskyttelsesekspert Joanne Bone er mere skeptisk over for dommens overordnede virkning.

"Selvom dette kan udvide ansvaret i jurisdiktioner, hvor tilsynsmyndighederne skulle bevise, at ledelsen var skyld i at bøde en virksomhed eller organisation, vil denne dom ikke komme som nogen overraskelse i Storbritannien," siger hun til ISMS.online.

"Efter min mening har det ikke ændret landskabet væsentligt med hensyn til bøder under EU's GDPR."

Bone siger, at EF-domstolens nylige afgørelse ikke vil resultere i et strengere ansvar, hvilket betyder, at myndighederne kun kan pålægge bøder, når de finder en forseelse. Hun tilføjer: "Det er nu klart, at der skal være tale om forsætlig eller uagtsom adfærd fra virksomhedens eller organisationens side."

Vigtigheden af ​​overholdelse

Afgørelsen kan dog stadig lægge mere pres på virksomheder for at sikre, at de har tilstrækkelige databeskyttelsespolitikker og -processer på plads. Især vil virksomheder skulle implementere en række politikker, procedurer og kontroller for at hjælpe deres personale med at håndtere data uden at overtræde databeskyttelsesreglerne, argumenterer Bone.

"Ikke kun skal procedurer på plads, men de skal rulles ud, overholdes og overvåges af organisationer," tilføjer hun.

Increditools' Indah forklarer, at vedtagelsen af ​​et informationssikkerhedsstyringssystem (ISMS), der følger internationale cybersikkerhedsstandarder såsom ISO 27001, kan være en stor hjælp i denne henseende.

"Dette giver en systematisk, revisorvenlig måde at sikre, at alle aspekter af overholdelse af databeskyttelse bliver behandlet løbende gennem gennemgang og forbedring," siger hun. "Når regulatorer kommer hårdere ned, kan demonstration af en forpligtelse til stewardship gennem certificering kun hjælpe med at demonstrere god tro indsats."

Indah mener, at det ikke længere er nok for organisationer at behandle databeskyttelse som en afkrydsningsfelt-overholdelsesopgave. Hun siger, at organisationer skal udføre regelmæssige interne og eksterne databeskyttelsesrevisioner, uddanne medarbejdere i at håndtere data ansvarligt og demonstrere forpligtelse på ledelsesniveau til at forstå de nyeste databeskyttelsesforskrifter.

"I stedet for at frygte højere bøder, ville virksomheder gøre klogt i at omfavne robust sikkerhedspraksis som en konkurrencemulighed og forretningsmulighed," tilføjer Indah. "Alternativet risikerer trods alt omdømmeskader, regulatoriske sanktioner og tab af kundernes tillid - hvilket i det lange løb kan påvirke bundlinjen meget mere alvorligt."

Ensurety's Budden opfordrer indtrængende virksomheder til at holde opdaterede registre over deres databehandlingsaktivitet og give personalet databeskyttelsesuddannelse for at opfylde deres lovmæssige databeskyttelseskrav. Andre opgaver omfatter implementering af alle påkrævede datapolitikker og -procedurer, udfyldelse af opdaterede databeskyttelseskonsekvensvurderinger og sikring af, at de har vedtaget alle tekniske og organisatoriske foranstaltninger, som er fastsat af tilsynsmyndigheder.

Vance Tran, medstifter af Pointer Clicker, er enig i, at ISO 27001 giver en god baseline for overholdelse af databeskyttelsesforskrifter. Men han siger, at organisationer kan udvide dette ved at vedtage privatlivsteknologier, DevSecOps-modeller og en privatlivsbevidst virksomhedskultur.

Han tilføjer: "Jeg ser denne dom som en mulighed. Ved at prioritere etiske, brugercentrerede løsninger på forhånd, kan udviklere ikke kun opfylde juridiske regler, men også opbygge reel brugertillid. Det er en spændende chance for at hjælpe med at skabe systemer baseret på privatliv og samtykke fra bunden."

I nutidens stærkt digitaliserede økonomi håndterer virksomheder en stadigt voksende mængde persondata. Selvom disse data er nyttige til bedre forståelse og målretning mod kunder, risikerer de virksomheder at få store bøder, hvis de ikke nøje følger databeskyttelsesreglerne.

 

Forfatter

Nicholas Fearn

Nicholas Fearn er freelancejournalist fra de walisiske dale. Han har skrevet for store medier som Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost og Insider, samt B2B-publikationer som Computer Weekly, Computing og IT Pro. Når Nic ikke skriver om de nyeste gadgets og teknologitrends, lytter han sikkert til hele Mariah Careys diskografi.

Se alle indlæg af Nicholas Fearn

Relaterede indlæg

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere