פארוואס אַ נייַע לעגאַל פּסאַק קען פאַרשטאַרקן די GDPR העסקעם

קסנומקס פעברואר קסנומקס

אין דעצעמבער איז געווען איינער פון די ביגאַסט ענדערונגען צו אייראפעישער דאַטן פּריוואַטקייט רעגולירן אין די לעצטע זכּרון. נאך א פארלאנג פון דייטשישע און ליטווישע געריכטן, האט דער אייראפעישער געריכט פון גערעכטיקייט (ECJ) ארויסגעגעבן א נייעם פסק צו דערקלערן ווען און ווי רעגיאַלייטערז קענען שטראַף קאָמפּאַניעס פֿאַר ברייקינג דאַטן פּריוואַטקייט געזעצן.

לעגאַל און זיכערהייט עקספּערץ טענהן אַז די פּסאַק וועט מאַכן עס גרינגער פֿאַר רעגיאַלייטערז צו דורכפירן דאַטן שוץ רעגיאַליישאַנז, וואָס קען פירן צו העכער GDPR פינעס. ווי אַ רעזולטאַט, עס איז געוואקסן דרוק אויף העסקעם טימז צו ענשור אַז זייער פירמס סטאָרינג און פּראַסעסינג פערזענלעכע דאַטן אויף אַ לעגאַל שטייגער.

רעגולאַטאָרי ימפּאַקט

אין דייַטשלאַנד, רעגיאַלייטערז פיינד גרונטייגנס פירמע Deutsche Wohnen € 14.4m פֿאַר סטאָרינג קונה דאַטן פֿאַר מער ווי דארף. דערווייַל, די ליטוויש גערעכט האט פיינד די לאַנד 'ס נאַשאַנאַל פּובליק געזונט צענטער € 12,000 און זייַן IT סערוויס שפּייַזער € 3000 איבער אַ קאָוויד -19 קאָנטאַקט טרייסינג אַפּ וואָס ווייאַלייטיד די GDPR. ביידע אָרגאַנאַזיישאַנז האָבן קאַנטעסטאַד די פינעס, און געפירט די היגע קאָרץ צו בעטן קלעריטי פון די ECJ וועגן די ענינים.

עס רולד אַז דאַטן שוץ רעגיאַלייטערז קענען בלויז אָנטאָן GDPR פינעס פֿאַר "ראָנגפאַל פירונג", וואָס אַ פירמע האט "בכויוו אָדער נעגלאַדזשאַנטלי" ווייאַלייטיד GDPR. און ווען פיינאַנסינג אַן אָרגאַניזאַציע, רעגיאַלייטערז מוזן רעכענען פינאַנציעל פּענאַלטיז באזירט אויף די יערלעך ויסקער פון זיין פאָטער גרופּע, אויב אָנווענדלעך.

זינט די ECJ געמאכט זיין לאַנדמאַרק GDPR פּסאַק, עס איז געווען פיל ספּעקולאַציע וועגן ווי עס וועט פּראַל אויף דאַטן רעגיאַליישאַנז איבער אייראָפּע. ברייקינג די באַשלוס, דער אָנפירונג דירעקטאָר פון Ensurety, Keith Budden, דערקלערט אַז עס האט צוויי הויפּט דימענשאַנז.

ערשטער, ער זאגט רעגיאַלייטערז קענען אַרויסגעבן GDPR פינעס אפילו אויב זיי קענען נישט באַשליסן ווי איין מענטש ס אַקשאַנז געפֿירט אַ דאַטן בריטש. צווייטנס, ער דערקלערט אַז קאָמפּאַניעס קען האָבן רעגולאַטאָרי קאַמף אויב אַ יחיד אָדער אָרגאַניזאַציע וואָס רעפּראַזענץ זיי, אַזאַ ווי אַ סאַב-פּראַסעסער אָדער אַ יחיד קאָנטראַקטאָר, ווייאַלייץ דאַטן שוץ כּללים.

"עס וועט ווערן גרינגער פֿאַר רעגיאַלייטערז צו אָנטאָן אַ פינאַנציעל שטראָף אויף אַן אָרגאַניזאַציע," ער דערציילט ISMS.online. "און די ברייט פון אַכרייַעס איז געוואקסן, אין אַז עס האט קלאָר די וועג פֿאַר אַ דאַטן קאַנטראָולער צו זיין פיינד, אפילו ווען די בריטש פון GDPR רעגיאַליישאַנז איז לימיטעד צו די טעטיקייט פון איינער פון זיין דאַטן פּראַסעסערז, אָדער טאַקע איינער פון זייער סאַב- פּראַסעסערז."

Kelly Indah, אַ זיכערהייט אַנאַליסט ביי Increditools, גלויבט אַז די ECJ ס דעצעמבער פּסאַק וועט "באַטייַטיק" פארשטארקן די וועג ווי רעגולאַטאָרס דורכפירן דאַטן שוץ כּללים.

"לויט די פּסאַק, רעגולאַטאָרס האָבן מער פּלאַץ צו אָפּלייגן פינעס וואָס זענען מינינגפאַל דיטערראַנץ, אלא ווי קאַפּט צו אַ זיכער פּראָצענט פון יערלעך ויסקער," זי דערציילט ISMS.online. "אַדדיטיאָנאַללי, דער באַשלוס סטרימליינז רעגולאַטאָרי פּראַסעסאַז אַזוי אויטאריטעטן קענען האַנדלען געשווינד ווען ניט-העסקעם איז דיסקאַווערד."

Irwin Mitchell שוטעף און דאַטן שוץ עקספּערט Joanne Bone איז מער סקעפּטיקאַל וועגן די קוילעלדיק פּראַל פון די פּסאַק.

"כאָטש דאָס קען יקספּאַנד אַכרייַעס אין דזשוריסדיקשאַנז ווו סופּערווייזערי אויטאריטעטן האָבן צו באַווייַזן אַז פאַרוואַלטונג איז געווען אַ שולד צו שולד אַ פירמע אָדער אָרגאַניזאַציע, די פּסאַק וועט קומען ווי קיין יבערראַשן אין די וק," זי דערציילט ISMS.online.

"אין מיין מיינונג, עס האט נישט באטייטיק שיפטיד די לאַנדשאַפט אין רעספּעקט פון פינעס אונטער EU GDPR."

ביין זאגט אז די לעצטע באשלוס פון די ECJ וועט נישט פירן צו שטרענגערע פאראנטווארטליכקייט, דאס הייסט אז אויטאריטעטן קענען נאר ארויפצווינגען פינעס ווען זיי געפינען עפעס אומרעכט. זי האָט צוגעגעבן: "עס איז איצט קלאָר אַז עס דאַרף זיין כויוו אָדער נעגלאַדזשאַנט אָנפירונג פון די פירמע אָדער אָרגאַניזאַציע."

די וויכטיקייט פון קאָמפּליאַנסע

אָבער, דער פּסאַק קען נאָך שטעלן מער דרוק אויף קאָמפּאַניעס צו ענשור אַז זיי האָבן טויגן דאַטן שוץ פּאַלאַסיז און פּראַסעסאַז אין פּלאַץ. אין באַזונדער, קאָמפּאַניעס וועט דאַרפֿן צו ינסטרומענט אַ קייט פון פּאַלאַסיז, פּראָוסידזשערז און קאָנטראָלס צו העלפן זייער שטעקן שעפּן דאַטן אָן ווייאַלייטינג דאַטן שוץ כּללים, טענהט ביין.

"ניט בלויז וועט דאַרפֿן צו זיין שטעלן פּראָוסידזשערז, אָבער זיי וועלן זיין ראָולד אויס, אַדכירד צו און פּאַליסיד דורך אָרגאַנאַזיישאַנז," זי צוגעגעבן.

Increditools 'ינדאַה דערקלערט אַז אַדאַפּטינג אַן אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS) וואָס גייט אינטערנאַציאָנאַלער סייבערסעקוריטי סטאַנדאַרדס אַזאַ ווי ISO 27001 קענען זיין אַ גרויס הילף אין דעם אַכטונג.

"דאָס גיט אַ סיסטעמאַטיש, אָדיטאָר-פרייַנדלעך וועג צו ענשור אַז אַלע אַספּעקץ פון דאַטן שוץ העסקעם זענען קאַנטיניואַסלי אַדזשאַסטיד דורך אָפּשאַצונג און פֿאַרבעסערונג," זי זאגט. "מיט רעגיאַלייטערז קומען האַרדער אַראָפּ, דעמאַנסטרייטינג אַ היסכייַוועס צו סטעוואַרדשיפּ דורך סערטאַפאַקיישאַן קענען בלויז העלפֿן באַווייַזן גוט אמונה השתדלות."

ינדאַה נעמט די מיינונג אַז עס איז ניט מער גענוג פֿאַר אָרגאַנאַזיישאַנז צו מייַכל דאַטן שוץ ווי אַ טיק-קעסטל העסקעם אַרבעט. זי זאגט אַז אָרגאַנאַזיישאַנז מוזן דורכפירן רעגולער ינערלעך און פונדרויסנדיק דאַטן שוץ אַדאַץ, באַן עמפּלוייז אויף ריספּאַנסאַבלי האַנדלינג פון דאַטן, און באַווייַזן די היסכייַוועס פון פירערשאַפט מדרגה צו פֿאַרשטיין די לעצטע דאַטן שוץ רעגיאַליישאַנז.

"אלא ווי מורא פון העכער פינעס, קאָמפּאַניעס וואָלט טאָן גוט צו אַרומנעמען געזונט זיכערהייט פּראַקטיסיז ווי אַ קאַמפּעטיטיוו געלעגנהייט און געשעפט ענייבאַלער," ינדאַ מוסיף. "נאָך אַלע, די אָלטערנאַטיוו ריסקס רעפּיאַטיישאַנאַל שעדיקן, רעגולאַטאָרי פּענאַלטיז און אָנווער פון קונה צוטרוי - וואָס אין די לאַנג לויפן קען ווירקן די דנאָ שורה פיל מער סאַווירלי."

Ensurety's Budden ערדזשיז קאָמפּאַניעס צו האַלטן דערהייַנטיקט רעקאָרדס פון זייער דאַטן פּראַסעסינג אַקטיוויטעטן און צושטעלן שטעקן מיט דאַטן שוץ טריינינג, צו טרעפן זייער רעגולאַטאָרי דאַטן שוץ רעקווירעמענץ. אנדערע טאַסקס אַרייַננעמען ימפּלאַמענינג אַלע פארלאנגט דאַטן פּאַלאַסיז און פּראָוסידזשערז, קאַמפּליטינג דערהייַנטיקט דאַטן שוץ פּראַל אַסעסמאַנץ און ינשורינג זיי האָבן אנגענומען אַלע טעכניש און אָרגאַנאַזיישאַנאַל מיטלען געלייגט דורך רעגיאַלייטערז.

Vance Tran, קאָ-גרינדער פון Pointer Clicker, איז מסכים אַז ISO 27001 גיט אַ גוט באַסעלינע פֿאַר אַדכירינג צו דאַטן שוץ רעגיאַליישאַנז. אָבער ער זאגט אַז אָרגאַנאַזיישאַנז קענען יקספּאַנד אויף דעם דורך אַדאַפּטינג פּריוואַטקייט טעקנאַלאַדזשיז, DevSecOps מאָדעלס און אַ פּריוואַטקייט-באַוווסטזיניק פירמע קולטור.

ער האָט צוגעגעבן: “איך זע דעם פּסאַק ווי אַ געלעגנהייט. דורך פּרייאָראַטייזינג עטישע, באַניצער-סענטריק סאַלושאַנז אין פראָנט, דעוועלאָפּערס קענען ניט בלויז טרעפן לעגאַל כּללים אָבער אויך בויען פאַקטיש באַניצער צוטרוי. דאָס איז אַן יקסייטינג געלעגנהייט צו העלפֿן שאַפֿן סיסטעמען באזירט אויף פּריוואַטקייט און צושטימען פֿון דער ערד אַרויף."

אין די היינטיקע העכסט דיגיטאזירטע עקאנאמיע, באהאנדלען געשעפטן אן אלץ וואקסנדיקע סומע פון פערזענליכע דאַטן. כאָטש די דאַטן זענען נוציק פֿאַר בעסער פארשטאנד און טאַרגאַטינג קאַסטאַמערז, עס שטעלן געשעפטן אין ריזיקירן פון כעפטי פינעס אויב זיי טאָן ניט שטרענג נאָכפאָלגן דאַטן שוץ כּללים.

מחבר

ניקאַלאַס פערן

Nicholas Fearn איז אַ פרילאַנס זשורנאַליסט פון די וועלש וואַליז. ער איז געשריבן פֿאַר הויפּט מעדיע אַוטלעץ ווי די פינאַנסיאַל טיימס, די ינדעפּענדענט, די טעלעגראַף, אָוונט סטאַנדאַרד, iNews, HuffPost און ינסידער, ווי געזונט ווי B2B אויסגאבעס ווי Computer Weekly, Computing און IT Pro. ווען ניק שרייבט נישט וועגן די לעצטע האַמצאָע און טעק טרענדס, ער מיסטאָמע הערן צו די גאנצע דיסקאָגראַפי פון Mariah Carey.

זען אַלע אַרטיקלען דורך Nicholas Fearn