gdpr uusi hallitseva blogi

Miksi uusi oikeudellinen päätös voi tehostaa GDPR-vaatimustenmukaisuutta?

Joulukuussa nähtiin yksi suurimmista muutoksista eurooppalaisessa tietosuojasäädöksessä viime aikoina. Saksan ja Liettuan tuomioistuinten pyynnöstä Euroopan yhteisöjen tuomioistuin (ECJ) antoi uuden päätöksen Selvittääksemme milloin ja miten sääntelyviranomaiset voivat sakottaa yrityksiä tietosuojalakien rikkomisesta.

Laki- ja turvallisuusasiantuntijat väittävät, että päätös helpottaa sääntelyviranomaisten tietosuojamääräysten täytäntöönpanoa, mikä saattaa johtaa korkeampiin GDPR-sakkoihin. Tämän seurauksena vaatimustenmukaisuustiimeillä on lisääntynyt paine varmistaakseen, että heidän yrityksensä säilyttävät ja käsittelevät henkilötietoja laillisella tavalla.

Sääntelyvaikutus

Saksassa sääntelyviranomaiset määräsivät kiinteistöyhtiö Deutsche Wohnenille 14.4 miljoonan euron sakot, koska se säilytti asiakastietoja pidempään kuin tarvitaan. Liettuan tuomioistuin oli tuominnut maan kansalliselle kansanterveyskeskukselle 12,000 3000 euron sakot ja sen IT-palveluntarjoajalle 19 XNUMX euron sakot GDPR:n vastaisesta COVID-XNUMX-kontaktien jäljityssovelluksesta. Molemmat järjestöt kiistivät sakot, minkä vuoksi paikalliset tuomioistuimet pyysivät Euroopan yhteisöjen tuomioistuimelta selvyyttä asioihin.

Se päätti, että tietosuojaviranomaiset voivat määrätä GDPR-sakkoja vain "virheellisessä toiminnassa", jossa yritys on "tahallisesti tai tuottamuksesta" rikkonut GDPR:ää. Ja kun organisaatiolle määrätään sakkoja, sääntelyviranomaisten on laskettava taloudelliset seuraamukset sen emokonsernin vuosiliikevaihdon perusteella, jos sellainen on.

Siitä lähtien, kun Euroopan yhteisöjen tuomioistuin antoi merkittävän GDPR-päätöksen, on spekuloitu paljon sen vaikutuksesta tietomääräyksiin kaikkialla Euroopassa. Päätöstä purkaessaan Ensuretyn toimitusjohtaja Keith Budden selittää, että sillä on kaksi pääulottuvuutta.

Ensinnäkin hän sanoo, että sääntelijät voivat määrätä GDPR-sakkoja, vaikka he eivät pystyisi määrittämään, kuinka yhden henkilön toimet aiheuttivat tietomurron. Toiseksi hän selittää, että yritykset voivat joutua sääntelytoimiin, jos niitä edustava henkilö tai organisaatio, kuten alikäsittelijä tai yksittäinen sopimuspuoli, rikkoo tietosuojasääntöjä.

"Sääntelyviranomaisten on helpompi määrätä taloudellisia seuraamuksia organisaatiolle", hän kertoo ISMS.online-sivustolle. "Ja vastuun laajuus on lisääntynyt, koska se on raivannut tien rekisterinpitäjälle sakkojen määrälle, vaikka GDPR-säännösten rikkominen rajoittuu jonkin sen tietojenkäsittelijän tai jopa jonkin heidän aliosapuolensa toimintaan. prosessorit."

Kelly Indah, Increditoolsin turvallisuusanalyytikko, uskoo, että Euroopan yhteisöjen tuomioistuimen joulukuussa antama tuomio vahvistaa "merkittävästi" tapaa, jolla sääntelijät panevat täytäntöön tietosuojasäännöt.

"Päätöksen mukaan sääntelyviranomaisilla on enemmän liikkumavaraa periä sakkoja, jotka ovat mielekkäitä pelotteita, sen sijaan, että ne rajoittaisivat tiettyyn prosenttiosuuteen vuotuisesta liikevaihdosta", hän kertoo ISMS.online-sivustolle. "Lisäksi päätös virtaviivaistaa sääntelyprosesseja, jotta viranomaiset voivat toimia ripeästi, kun sääntöjenvastaisuutta havaitaan."

Irwin Mitchellin kumppani ja tietosuojaasiantuntija Joanne Bone suhtautuu epäilevämmin päätöksen kokonaisvaikutukseen.

"Vaikka tämä saattaa laajentaa vastuuta lainkäyttöalueilla, joissa valvontaviranomaisten oli todistettava johdon syyllisyyden sakkojen määräämiseen yritykselle tai organisaatiolle, tämä päätös ei tule yllätyksenä Isossa-Britanniassa", hän kertoo ISMS.online-sivustolle.

"Mielestäni se ei ole olennaisesti muuttanut maisemaa EU:n GDPR:n mukaisten sakkojen suhteen."

Bone sanoo, että Euroopan yhteisöjen tuomioistuimen äskettäinen päätös ei johda tiukempaan vastuuseen, mikä tarkoittaa, että viranomaiset voivat määrätä sakkoja vain havaitessaan väärinkäytöksiä. Hän lisää: "Nyt on selvää, että yrityksen tai organisaation toiminnan on oltava tahallista tai huolimatonta."

Vaatimustenmukaisuuden tärkeys

Päätös saattaa kuitenkin edelleen lisätä yrityksiä varmistamaan, että niillä on riittävät tietosuojakäytännöt ja -prosessit. Erityisesti yritysten on otettava käyttöön erilaisia ​​käytäntöjä, menettelyjä ja valvontatoimia auttaakseen henkilöstöään käsittelemään tietoja rikkomatta tietosuojasääntöjä, Bone väittää.

"Menettelyjä ei tarvitse vain ottaa käyttöön, vaan myös organisaatioiden on otettava ne käyttöön, niitä on noudatettava ja valvottava", hän lisää.

Increditoolsin Indah selittää, että kansainvälisten kyberturvallisuusstandardien, kuten ISO 27001, mukaisen tietoturvan hallintajärjestelmän (ISMS) käyttöönotto voi olla tässä suuri apu.

"Tämä tarjoaa järjestelmällisen, tarkastajaystävällisen tavan varmistaa, että kaikkia tietosuojan noudattamista koskevia näkökohtia käsitellään jatkuvasti tarkistamalla ja parantamalla", hän sanoo. "Kun sääntelijät lyövät tiukemmin, sitoutumisen osoittaminen taloudenhoitoon sertifioinnilla voi vain auttaa osoittamaan vilpitöntä työtä."

Indah katsoo, ettei enää riitä, että organisaatiot käsittelevät tietosuojaa tick-box-vaatimustenmukaisuustehtävänä. Hän sanoo, että organisaatioiden on suoritettava säännöllisiä sisäisiä ja ulkoisia tietosuojatarkastuksia, koulutettava työntekijöitä käsittelemään tietoja vastuullisesti ja osoitettava johtajatason sitoutumista uusimpien tietosuojamääräysten ymmärtämiseen.

"Suurimpien sakkojen pelkäämisen sijaan yritysten olisi hyvä omaksua vankat tietoturvakäytännöt kilpailumahdollisuutena ja liiketoiminnan mahdollistajana", Indah lisää. "Loppujen lopuksi vaihtoehto uhkaa mainevaurioita, lakisääteisiä seuraamuksia ja asiakkaiden luottamuksen menetystä - mikä voi pitkällä aikavälillä vaikuttaa tulokseen paljon vakavammin."

Ensurety's Budden kehottaa yrityksiä pitämään ajan tasalla olevaa kirjaa tietojenkäsittelytoiminnastaan ​​ja järjestämään henkilökunnalle tietosuojakoulutusta, jotta ne voivat täyttää tietosuojavaatimukset. Muita tehtäviä ovat kaikkien vaadittujen tietokäytäntöjen ja -menettelyjen toteuttaminen, ajantasaisten tietosuojavaikutusten arviointien tekeminen ja sen varmistaminen, että kaikki sääntelyviranomaisten asettamat tekniset ja organisatoriset toimenpiteet on otettu käyttöön.

Vance Tran, yksi Pointer Clickerin perustajista, on samaa mieltä siitä, että ISO 27001 tarjoaa hyvän lähtökohdan tietosuojamääräysten noudattamiselle. Mutta hän sanoo, että organisaatiot voivat laajentaa tätä ottamalla käyttöön tietosuojateknologioita, DevSecOps-malleja ja tietosuojatietoisen yrityskulttuurin.

Hän lisää: ”Näen tämän päätöksen mahdollisuutena. Priorisoimalla eettiset, käyttäjäkeskeiset ratkaisut etukäteen kehittäjät voivat paitsi noudattaa lakisääntöjä myös rakentaa todellista käyttäjien luottamusta. Se on jännittävä tilaisuus auttaa luomaan järjestelmiä, jotka perustuvat yksityisyyteen ja suostumukseen alusta alkaen."

Nykypäivän pitkälle digitalisoituneessa taloudessa yritykset käsittelevät jatkuvasti kasvavaa määrää henkilötietoja. Vaikka nämä tiedot ovat hyödyllisiä asiakkaiden ymmärtämiseen ja kohdentamiseen, se asettaa yrityksille suuria sakkoja, jos ne eivät noudata tiukasti tietosuojasääntöjä.

 

kirjailija

Nicholas Fearn

Nicholas Fearn on freelance-toimittaja Walesin laaksoista. Hän on kirjoittanut suurille tiedotusvälineille, kuten Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost ja Insider, sekä B2B-julkaisuille, kuten Computer Weekly, Computing ja IT Pro. Kun Nic ei kirjoita uusimmista laitteista ja teknologiatrendeistä, hän luultavasti kuuntelee Mariah Careyn koko diskografiaa.

Näytä kaikki Nicholas Fearnin viestit

Aiheeseen liittyvät julkaisut

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja