gdpr ny herskende blogg

Hvorfor en ny juridisk kjennelse kan intensivere GDPR-overholdelse

Desember så en av de største endringene i europeisk personvernforordning i nyere tid. Etter en anmodning fra tyske og litauiske domstoler har EU-domstolen (ECJ) avsa ny kjennelse for å avklare når og hvordan regulatorer kan bøtelegge selskaper for brudd på personvernloven.

Juridiske eksperter og sikkerhetseksperter hevder at kjennelsen vil gjøre det lettere for regulatorer å håndheve databeskyttelsesforskrifter, noe som potensielt kan føre til høyere GDPR-bøter. Som et resultat er det økt press på overholdelsesteam for å sikre at firmaene deres lagrer og behandler personopplysninger på en lovlig måte.

Lovpåvirkning

I Tyskland bøtelagt regulatorer eiendomsfirmaet Deutsche Wohnen € 14.4 millioner for å ha lagret kundedata lenger enn nødvendig. I mellomtiden hadde den litauiske domstolen bøtelagt landets nasjonale folkehelsesenter på €12,000 3000 og IT-tjenesteleverandøren €19 for en Covid-XNUMX-kontaktsporingsapp som brøt med GDPR. Begge organisasjonene bestred bøtene, noe som førte til at lokale domstoler ba om klarhet fra EU-domstolen i sakene.

Den slo fast at databeskyttelsesregulatorer bare kan ilegge GDPR-bøter for "feilaktig oppførsel", der et selskap har "forsettlig eller uaktsomt" brutt GDPR. Og når man bøter en organisasjon, må tilsynsmyndighetene beregne økonomiske bøter basert på morgruppens årlige omsetning, hvis det er aktuelt.

Siden ECJ traff sin landemerke GDPR-avgjørelse, har det vært mye spekulasjoner om hvordan det vil påvirke datareguleringer over hele Europa. Ved å bryte ned avgjørelsen, forklarer administrerende direktør for Ensurety, Keith Budden, at den har to hoveddimensjoner.

For det første sier han at regulatorer kan utstede GDPR-bøter selv om de ikke kan fastslå hvordan en persons handlinger forårsaket et databrudd. For det andre forklarer han at selskaper kan stå overfor regulatoriske tiltak hvis en person eller organisasjon som representerer dem, for eksempel en underbehandler eller en individuell kontraktør, bryter databeskyttelsesreglene.

"Det vil bli lettere for regulatorer å pålegge en organisasjon en økonomisk straff," sier han til ISMS.online. "Og bredden i ansvaret har økt, ved at det har ryddet veien for en behandlingsansvarlig å bli bøtelagt, selv når bruddet på GDPR-regelverket er begrenset til aktiviteten til en av dens databehandlere, eller faktisk en av deres under- prosessorer."

Kelly Indah, en sikkerhetsanalytiker hos Increditools, mener at EF-domstolens kjennelse i desember vil «betraktelig» styrke måten regulatorer håndhever databeskyttelsesregler på.

"Ifølge kjennelsen har regulatorer større spillerom til å ilegge bøter som er meningsfulle avskrekkende midler, i stedet for å begrense en viss prosentandel av årlig omsetning," sier hun til ISMS.online. "I tillegg strømlinjeformer avgjørelsen regulatoriske prosesser slik at myndighetene kan handle raskt når manglende overholdelse oppdages."

Irwin Mitchells partner og databeskyttelsesekspert Joanne Bone er mer skeptisk til kjennelsens generelle innvirkning.

"Selv om dette kan utvide ansvaret i jurisdiksjoner der tilsynsmyndighetene måtte bevise at ledelsen var skyld i å bøtelegge et selskap eller organisasjon, vil denne kjennelsen ikke komme som noen overraskelse i Storbritannia," sier hun til ISMS.online.

"Etter mitt syn har det ikke endret landskapet vesentlig når det gjelder bøter under EUs GDPR."

Bone sier at ECJs nylige avgjørelse ikke vil resultere i strengere ansvar, noe som betyr at myndighetene bare kan ilegge bøter når de finner noe galt. Hun legger til: "Det er nå klart at det må være forsettlig eller uaktsom opptreden fra selskapets eller organisasjonens side."

Viktigheten av overholdelse

Avgjørelsen kan imidlertid fortsatt legge mer press på selskaper for å sikre at de har tilstrekkelige retningslinjer og prosesser for databeskyttelse på plass. Spesielt vil selskaper måtte implementere en rekke retningslinjer, prosedyrer og kontroller for å hjelpe sine ansatte med å håndtere data uten å bryte databeskyttelsesregler, argumenterer Bone.

"Ikke bare må prosedyrer på plass, men de må rulles ut, følges og kontrolleres av organisasjoner," legger hun til.

Increditools' Indah forklarer at å ta i bruk et styringssystem for informasjonssikkerhet (ISMS) som følger internasjonale cybersikkerhetsstandarder som ISO 27001 kan være en stor hjelp i denne forbindelse.

"Dette gir en systematisk, revisorvennlig måte å sikre at alle aspekter av overholdelse av databeskyttelse blir behandlet kontinuerlig gjennom gjennomgang og forbedring," sier hun. "Når regulatorer kommer hardere ned, kan det å demonstrere en forpliktelse til forvaltning gjennom sertifisering bare bidra til å demonstrere innsats i god tro."

Indah mener at det ikke lenger er nok for organisasjoner å behandle databeskyttelse som en avkryssingsoppgave. Hun sier at organisasjoner må utføre regelmessige interne og eksterne databeskyttelsesrevisjoner, trene ansatte i å håndtere data på en ansvarlig måte, og demonstrere forpliktelse på ledernivå for å forstå de nyeste databeskyttelsesforskriftene.

"I stedet for å frykte høyere bøter, vil selskaper gjøre klokt i å omfavne robust sikkerhetspraksis som en konkurransemulighet og forretningsmuliggjøring," legger Indah til. "Tross alt risikerer alternativet omdømmeskade, regulatoriske straffer og tap av kundetillit - noe som i det lange løp kan påvirke bunnlinjen mye mer alvorlig."

Ensuretys Budden oppfordrer bedrifter til å holde oppdaterte registre over databehandlingsaktivitetene deres og gi personalet opplæring i databeskyttelse for å oppfylle deres regulatoriske databeskyttelseskrav. Andre oppgaver inkluderer å implementere alle nødvendige datapolicyer og prosedyrer, fullføre oppdaterte konsekvensvurderinger for databeskyttelse og sikre at de har vedtatt alle tekniske og organisatoriske tiltak fastsatt av regulatorer.

Vance Tran, medgründer av Pointer Clicker, er enig i at ISO 27001 gir en god grunnlinje for å overholde databeskyttelsesforskriftene. Men han sier at organisasjoner kan utvide dette ved å ta i bruk personvernteknologier, DevSecOps-modeller og en personvernbevisst bedriftskultur.

Han legger til: «Jeg ser på denne kjennelsen som en mulighet. Ved å prioritere etiske, brukersentriske løsninger på forhånd, kan utviklere ikke bare møte juridiske regler, men også bygge ekte brukertillit. Det er en spennende sjanse til å bidra til å skape systemer basert på personvern og samtykke fra grunnen av.»

I dagens høyt digitaliserte økonomi håndterer bedrifter en stadig økende mengde personopplysninger. Selv om disse dataene er nyttige for bedre forståelse og målretting mot kunder, setter de bedrifter i fare for høye bøter hvis de ikke strengt følger reglene for databeskyttelse.

 

Forfatter

Nicholas Fearn

Nicholas Fearn er en frilansjournalist fra de walisiske dalene. Han har skrevet for store medier som Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost og Insider, samt B2B-publikasjoner som Computer Weekly, Computing og IT Pro. Når Nic ikke skriver om de siste dingsene og teknologitrendene, lytter han sannsynligvis til hele Mariah Careys diskografi.

Se alle innlegg av Nicholas Fearn

Relaterte innlegg

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer