Sécurité des données : l’erreur est (souvent) humaine

Ασφάλεια δεδομένων: το να κάνεις λάθη είναι (συχνά) ανθρώπινο

Νομική Επιτήρηση – Νοέμβριος 2019.

Ασφάλεια δεδομένων: το να κάνεις λάθη είναι (συχνά) ανθρώπινο. Αυτό ήταν το συμπέρασμα στο οποίο κατέληξαν οι δημόσιες αρχές που είναι υπεύθυνες για την προστασία των προσωπικών δεδομένων, οι οποίες συναντήθηκαν στα Τίρανα από τις 21 έως τις 24 Οκτωβρίου.

Στο διεθνές συνέδριο, το οποίο συγκεντρώνει κάθε χρόνο τις εποπτικές αρχές, τον ιδιωτικό τομέα και την κοινωνία των πολιτών, εγκρίθηκαν διάφορα ψηφίσματα.

Αυτά περιλαμβάνουν δύο ψηφίσματα που αποσκοπούν στη βελτίωση της συνεργασίας μεταξύ των δημόσιων αρχών πέρα από τα σύνορα και στην καλύτερη εφαρμογή του ΓΚΠΔ, ένα ψήφισμα για τα μέσα κοινωνικής δικτύωσης και το βίαιο εξτρεμιστικό περιεχόμενο, και αυτό που εξετάζουμε εδώ, σχετικά με το ανθρώπινο λάθος σε παραβιάσεις ασφαλείας.

Υπενθυμίζεται ότι, σύμφωνα με τον ΓΚΠΔ, μια παραβίαση ασφαλείας αφορά οποιαδήποτε περίπτωση κατά την οποία τα προσωπικά δεδομένα διαφεύγουν τυχαία ή παράνομα:

  • Καταστράφηκε από
  • Χαμένος
  • Τροποποιημένο
  • Φανερωθείς
  • Ή όταν παρατηρείται μη εξουσιοδοτημένη πρόσβαση σε δεδομένα.

Συνεπώς, πρόκειται για ένα ιδιαίτερα ευρύ πεδίο εφαρμογής, με συνέπειες για τον υπεύθυνο επεξεργασίας δεδομένων, ο οποίος οφείλει, ανάλογα με τις επιπτώσεις της παραβίασης της ασφάλειας, να ειδοποιήσει την CNIL και τα εμπλεκόμενα από το συμβάν πρόσωπα.

Πάνω από ένα χρόνο μετά την έναρξη ισχύος του ΓΚΠΔ, βλέπουμε ότι ένα μεγάλο ποσοστό των προστίμων που επιβάλλονται για μη συμμόρφωση με τον Κανονισμό οφείλεται στην έλλειψη ασφάλειας στην επεξεργασία δεδομένων. 

Οι διάφορες αρχές στην Ευρώπη έχουν επίσης λάβει μεγάλο αριθμό ειδοποιήσεων και αρχίζουν να έχουν μια σαφέστερη εικόνα για την προέλευση των προβλημάτων ασφαλείας, κάτι που θα πρέπει να συμβάλει στη βελτίωση της πρόληψης σε αυτόν τον τομέα.

Η παρατήρηση έχει ως εξής: Ένα μεγάλο μέρος των παραβιάσεων ασφαλείας προέρχεται από την ακούσια αποκάλυψη πληροφοριών από τους υπαλλήλους. σε μη εξουσιοδοτημένους παραλήπτες ή σε άτομα που παραπλανήθηκαν ώστε να μεταδώσουν αναγνωριστικά στοιχεία και κωδικούς πρόσβασης σε πληροφορίες.

Εκτός από την εφαρμογή ισχυρών τεχνικών προστασίας δεδομένων στον σχεδιασμό συστημάτων («προστασία της ιδιωτικής ζωής εκ σχεδιασμού»), το ψήφισμα ζητά την ανάπτυξη μιας κουλτούρας προστασίας δεδομένων εντός της εταιρείας. Επισημαίνονται τα ακόλουθα μέτρα:

  • Τακτικά προγράμματα κατάρτισης, εκπαίδευσης και ευαισθητοποίησης των εργαζομένων σχετικά με θέματα «ιδιωτικότητας» και ασφάλειας δεδομένων.
  • Εκπαίδευση στην ανίχνευση και αναφορά παραβιάσεων ασφαλείας·
  • Τακτική παρακολούθηση και έλεγχοι των πρακτικών και των συστημάτων που εφαρμόζονται για την προστασία των δεδομένων.

Μια χρήσιμη υπενθύμιση: η κρυπτογράφηση παραμένει ένα εξαιρετικά σημαντικό μέσο προστασίας δεδομένων, σε συνδυασμό με άλλα τεχνικά και οργανωτικά μέτρα. Η CNIL και η ANSSI (Γαλλική Υπηρεσία Προστασίας Δεδομένων) δημοσίευσαν έναν πλούτο πρακτικών πληροφοριών στο διαδίκτυο τον Οκτώβριο για να σηματοδοτήσουν τον Μήνα Κυβερνοασφάλειας.

Και επίσης:

  • Στη Γαλλία:

Η γαλλική εποπτική αρχή δημοσίευσε τον οδικό χάρτη της για την περίοδο 2019-2021 στα μέσα Οκτωβρίου. προκειμένου να γνωστοποιήσει τις προτεραιότητές της όσον αφορά την προστασία των προσωπικών δεδομένων. Υπάρχουν πέντε τομείς εργασίας:

  • Οι ψηφιακές προκλήσεις της καθημερινής ζωής των πολιτών·
  • Ισορροπημένη ρύθμιση (στήριξη και κατασταλτική δράση)·
  • Μια σημαντική επένδυση στην ευρωπαϊκή συνεργασία·
  • Πρωτοποριακή τεχνογνωσία στην ψηφιακή τεχνολογία και την κυβερνοασφάλεια.
  • Μια καινοτόμος αποστολή δημόσιας υπηρεσίας βασισμένη σε ανθρωπιστικές αξίες.

Η CNIL πήρε επίσης θέση στις 17 Οκτωβρίου σχετικά με δύο συστήματα αναγνώρισης προσώπου. υλοποιούνται στα σχολεία.

Θεώρησε ότι αυτά τα έργα, που εφαρμόστηκαν σε φοιτητές που ήταν ως επί το πλείστον ανήλικοι και με μοναδικό στόχο την απλοποίηση και την εξασφάλιση της πρόσβασης, δεν ήταν «ούτε απαραίτητα ούτε αναλογικά για την επίτευξη αυτών των σκοπών».

Αυτές οι αποφάσεις μπορούν να συγκριθούν με αυτήν που έλαβε η σουηδική εποπτική αρχή στα τέλη Αυγούστου στο πλαίσιο της αναγνώρισης προσώπου στα σχολεία, αυτή τη φορά με στόχο την παρακολούθηση της παρουσίας.

  • Στην Ευρώπη:

Αποζημίωση για παραβίαση του νόμου: Οι προϋποθέσεις υπό τις οποίες ένα άτομο μπορεί να ζητήσει αποζημίωση σε περίπτωση παραβίασης των δικαιωμάτων του διευκρινίζονται από τη νομολογία.

Η τελευταία απόφαση, που ελήφθη από το Εφετείο του Λονδίνου στις 2 Οκτωβρίου, επιδικάζει αποζημίωση για δόλια συλλογή δεδομένων από την Google στα iPhone περισσότερων από τεσσάρων εκατομμυρίων χρηστών, ελλείψει αποδεικτικών στοιχείων ζημίας: το Δικαστήριο διευκρινίζει ότι ο έλεγχος ενός ατόμου επί των δεδομένων του έχει αξία, επομένως η απώλεια αυτού του ελέγχου πρέπει επίσης να έχει αξία.

Συνεπώς, ένα άτομο μπορεί να λάβει αποζημίωση βάσει του νόμου χωρίς να αποδείξει οικονομική ζημία ή δυσχέρεια.

Σημειώνουμε τη σύνδεση μεταξύ της παρούσας απόφασης και του άρθρου 82 του ΓΚΠΔ, το οποίο θεσπίζει την ύπαρξη υλικής και μη υλικής ζημίας και αφήνει το βάρος απόδειξης ότι δεν φέρει ευθύνη για τη ζημία στον υπεύθυνο επεξεργασίας δεδομένων.

  • Στις Ηνωμένες Πολιτείες:

Διεθνείς μεταφορές δεδομένων: Στις 23 Οκτωβρίου, η Ευρωπαϊκή Επιτροπή δημοσίευσε τα συμπεράσματα της τρίτης ετήσιας αξιολόγησης της «Ασπίδας Προστασίας Προσωπικών Δεδομένων», η οποία διέπει τη μεταφορά δεδομένων στις Ηνωμένες Πολιτείες για εταιρείες που έχουν εγγραφεί σε αυτήν.

Η έκθεση επιβεβαιώνει ότι το σύστημα εξακολουθεί να παρέχει επαρκές επίπεδο προστασίας.

Επισημαίνει τις βελτιώσεις που έγιναν στην εφαρμογή της «Ασπίδας» και αναφέρει τις εναπομένουσες αδυναμίες, συμπεριλαμβανομένου του χρονικού διαστήματος που απαιτείται για την απόκτηση (επαν)πιστοποίησης και την επαλήθευση ψευδών ισχυρισμών πιστοποίησης που υποβάλλονται από ορισμένες εταιρείες.

Ανακαλύψτε το Viqtor®
elEL
fr_FRFR en_USEN de_DE_formalDE es_ESES it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL elEL