gdpr nya styrande blogg

Varför en ny rättslig dom skulle kunna intensifiera efterlevnaden av GDPR

I december skedde en av de största förändringarna i den europeiska dataskyddsförordningen på senare tid. Efter en begäran från tyska och litauiska domstolar har EG-domstolen (EG-domstolen) meddelade ett nytt beslut för att klargöra när och hur tillsynsmyndigheter kan bötfälla företag för att de bryter mot dataskyddslagar.

Juridiska experter och säkerhetsexperter hävdar att domen kommer att göra det lättare för tillsynsmyndigheter att upprätthålla dataskyddsbestämmelser, vilket kan leda till högre GDPR-böter. Som ett resultat ökar pressen på efterlevnadsteam för att säkerställa att deras företag lagrar och behandlar personuppgifter på ett lagligt sätt.

Regleringseffekter

I Tyskland bötfällde tillsynsmyndigheter fastighetsföretaget Deutsche Wohnen med 14.4 miljoner euro för att ha lagrat kunddata längre än nödvändigt. Samtidigt hade den litauiska domstolen bötfällt landets nationella folkhälsocenter med 12,000 3000 euro och dess IT-tjänsteleverantör 19 XNUMX euro för en kontaktspårningsapp för Covid-XNUMX som bröt mot GDPR. Båda organisationerna bestred böterna, vilket ledde till att lokala domstolar begärde klarhet från EG-domstolen i ärendet.

Den slog fast att dataskyddstillsynsmyndigheter endast kan ålägga GDPR-böter för "felaktigt beteende", där ett företag "avsiktligt eller oaktsamt" har brutit mot GDPR. Och när man bötfäller en organisation måste tillsynsmyndigheter beräkna ekonomiska påföljder baserat på modergruppens årliga omsättning, om tillämpligt.

Sedan EG-domstolen fattade sitt ledande GDPR-utslag har det förekommit mycket spekulationer om hur det kommer att påverka datalagstiftningen i Europa. Genom att bryta ner beslutet förklarar Ensuretys verkställande direktör, Keith Budden, att det har två huvuddimensioner.

För det första säger han att tillsynsmyndigheter kan utfärda GDPR-böter även om de inte kan avgöra hur en persons handlingar orsakade ett dataintrång. För det andra förklarar han att företag kan ställas inför reglerande åtgärder om en individ eller organisation som företräder dem, till exempel en underordnare eller en enskild entreprenör, bryter mot dataskyddsreglerna.

"Det kommer att bli lättare för tillsynsmyndigheter att ålägga en organisation en ekonomisk påföljd", säger han till ISMS.online. "Och omfattningen av ansvaret har ökat, genom att det har banat väg för en personuppgiftsansvarig att bötfällas, även när överträdelsen av GDPR-reglerna är begränsad till aktiviteten hos en av dess databehandlare, eller faktiskt en av deras underordnade processorer.”

Kelly Indah, säkerhetsanalytiker på Increditools, tror att EG-domstolens dom i december kommer "avsevärt" att stärka det sätt på vilket tillsynsmyndigheter tillämpar dataskyddsregler.

"Enligt domen har tillsynsmyndigheter mer spelrum att ta ut böter som är meningsfulla avskräckande, snarare än att begränsa en viss procent av den årliga omsättningen", säger hon till ISMS.online. "Dessutom effektiviserar beslutet regulatoriska processer så att myndigheter kan agera snabbt när bristande efterlevnad upptäcks."

Irwin Mitchells partner och dataskyddsexpert Joanne Bone är mer skeptisk till domens övergripande inverkan.

"Även om detta kan utöka ansvaret i jurisdiktioner där tillsynsmyndigheter var tvungna att bevisa att ledningen var skyldig att bötfälla ett företag eller en organisation, kommer denna dom inte som någon överraskning i Storbritannien", säger hon till ISMS.online.

"Enligt min mening har det inte väsentligt förändrat landskapet när det gäller böter enligt EU:s GDPR."

Bone säger att EG-domstolens beslut nyligen inte kommer att resultera i ett striktare ansvar, vilket innebär att myndigheter bara kan ålägga böter när de upptäcker något fel. Hon tillägger: "Det står nu klart att det måste förekomma avsiktligt eller oaktsamt beteende från företagets eller organisationens sida."

Vikten av efterlevnad

Domen kan dock fortfarande sätta mer press på företag att se till att de har adekvata dataskyddspolicyer och processer på plats. I synnerhet kommer företag att behöva implementera en rad policyer, procedurer och kontroller för att hjälpa sin personal att hantera data utan att bryta mot dataskyddsreglerna, hävdar Bone.

"Inte bara kommer procedurer att behöva införas utan de kommer att behöva rullas ut, följas och övervakas av organisationer," tillägger hon.

Increditools Indah förklarar att antagandet av ett informationssäkerhetshanteringssystem (ISMS) som följer internationella cybersäkerhetsstandarder som ISO 27001 kan vara till stor hjälp i detta avseende.

"Detta ger ett systematiskt, revisorsvänligt sätt att säkerställa att alla aspekter av efterlevnad av dataskydd behandlas kontinuerligt genom granskning och förbättring", säger hon. "När tillsynsmyndigheter faller hårdare, kan demonstration av ett engagemang för förvaltarskap genom certifiering bara hjälpa till att visa insatser i god tro."

Indah anser att det inte längre räcker för organisationer att behandla dataskydd som en tick-box efterlevnadsuppgift. Hon säger att organisationer måste utföra regelbundna interna och externa dataskyddsrevisioner, utbilda anställda i att hantera data ansvarsfullt och visa engagemang på ledarnivå för att förstå de senaste dataskyddsreglerna.

"Istället för att frukta högre böter, skulle företag göra klokt i att anamma robusta säkerhetsrutiner som en konkurrensmöjlighet och affärsmöjlighet", tillägger Indah. "Alternativet riskerar trots allt skada på anseendet, regulatoriska påföljder och förlust av kundernas förtroende - vilket i det långa loppet kan påverka resultatet mycket allvarligare."

Ensurety's Budden uppmanar företag att hålla uppdaterade register över sin databehandlingsaktivitet och ge personalen dataskyddsutbildning för att uppfylla deras lagstadgade dataskyddskrav. Andra uppgifter inkluderar att implementera alla nödvändiga datapolicyer och förfaranden, slutföra uppdaterade dataskyddskonsekvensbedömningar och se till att de har antagit alla tekniska och organisatoriska åtgärder som fastställts av tillsynsmyndigheter.

Vance Tran, medgrundare av Pointer Clicker, håller med om att ISO 27001 ger en bra grund för att följa dataskyddsbestämmelserna. Men han säger att organisationer kan utöka detta genom att anta sekretessteknologier, DevSecOps-modeller och en integritetsmedveten företagskultur.

Han tillägger: "Jag ser detta beslut som en möjlighet. Genom att prioritera etiska, användarcentrerade lösningar i förväg, kan utvecklare inte bara uppfylla juridiska regler utan också bygga verkligt användarförtroende. Det är en spännande chans att hjälpa till att skapa system som bygger på integritet och samtycke från grunden.”

I dagens starkt digitaliserade ekonomi hanterar företag en ständigt växande mängd personuppgifter. Även om denna data är användbar för att bättre förstå och rikta in sig på kunder, riskerar den företag att få höga böter om de inte strikt följer dataskyddsreglerna.

 

Författare

Nicholas Fearn

Nicholas Fearn är en frilansjournalist från de walesiska dalarna. Han har skrivit för stora medier som Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost och Insider, såväl som B2B-publikationer som Computer Weekly, Computing och IT Pro. När Nic inte skriver om de senaste prylarna och tekniktrenderna lyssnar han förmodligen på hela Mariah Careys diskografi.

Visa alla inlägg av Nicholas Fearn

relaterade inlägg

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer