Sécurité des données : l’erreur est (souvent) humaine

Andmeturve: eksimine on (sageli) inimlik

Õiguslik jälgimine – november 2019.

Andmeturve: eksimine on (sageli) inimlik. Sellisele järeldusele jõudsid isikuandmete kaitse eest vastutavad avaliku sektori asutused, kes kohtusid Tiranas 21.–24. oktoobrini.

Rahvusvahelisel konverentsil, mis toob igal aastal kokku järelevalveasutused, erasektori ja kodanikuühiskonna, võeti vastu mitu resolutsiooni.

Nende hulka kuuluvad kaks resolutsiooni, mille eesmärk on parandada avaliku sektori asutuste piiriülest koostööd ja isikuandmete kaitse üldmääruse (GDPR) paremat rakendamist, resolutsioon sotsiaalmeedia ja vägivaldse äärmusliku sisu kohta ning resolutsioon, millega me siin tegeleme, inimlike vigade kohta turvaintsidentide korral.

Meeldetuletuseks, isikuandmete kaitse üldmääruse kohaselt on turvarikkumine iga olukord, kus isikuandmeid kogemata või ebaseaduslikult:

  • Hävitatud
  • Kadunud
  • Muudetud
  • Avalikustatud
  • Või kui täheldatakse volitamata juurdepääsu andmetele.

Seega on tegemist eriti laia kohaldamisalaga, millel on tagajärjed andmetöötlejale, kes peab olenevalt turvarikkumise mõjust teavitama CNIL-i ja intsidendist mõjutatud isikuid.

Rohkem kui aasta pärast isikuandmete kaitse üldmääruse jõustumist näeme, et suur osa määruse rikkumise eest määratud trahvidest on tingitud andmetöötluse turvalisuse puudumisest. 

Ka Euroopa erinevad ametiasutused on saanud suure hulga teateid ning hakkavad saama selgema pildi turvaprobleemide algpõhjustest, mis peaks aitama ennetustööd selles valdkonnas parandada.

Tähelepanek on järgmine: Suur osa turvarikkumistest tuleneb töötajate tahtmatust teabe avalikustamisest. volitamata vastuvõtjatele või isikutele, keda on eksitatud edastama identifikaatoreid ja teabele juurdepääsu koode.

Lisaks tugevate andmekaitsetehnikate rakendamisele süsteemide kavandamisel („privacy by design“) kutsub resolutsioon üles arendama ettevõttes andmekaitsekultuuri. Esile tõstetakse järgmisi meetmeid:

  • Töötajatele suunatud regulaarsed koolitus-, haridus- ja teadlikkuse tõstmise programmid privaatsuse ja andmeturbe aspektide kohta;
  • Turvarikkumiste avastamise ja teatamise koolitus;
  • Andmete kaitsmiseks rakendatud tavade ja süsteemide regulaarne jälgimine ja auditid.

Kasulik meeldetuletus: krüpteerimine on koos muude tehniliste ja korralduslike meetmetega endiselt väga oluline andmete kaitsmise viis. CNIL ja ANSSI (Prantsuse andmekaitseamet) avaldasid oktoobris küberturvalisuse kuu tähistamiseks veebis hulgaliselt praktilist teavet.

Ja ka:

  • Prantsusmaal:

Prantsuse järelevalveasutus avaldas oma 2019.–2021. aasta tegevuskava oktoobri keskel. et edastada oma prioriteete isikuandmete kaitse valdkonnas. Töövaldkondi on viis:

  • Kodanike igapäevaelu digitaalsed väljakutsed;
  • Tasakaalustatud regulatsioon (toetav ja repressiivne tegevus);
  • Märkimisväärne investeering Euroopa koostöösse;
  • Tipptasemel oskusteave digitaal- ja küberturvalisuse valdkonnas;
  • Innovatiivne avaliku teenistuse missioon, mis põhineb humanistlikel väärtustel.

CNIL võttis 17. oktoobril seisukoha ka kahe näotuvastussüsteemi kohta koolides rakendatud.

Ta pidas neid projekte, mida rakendati enamasti alaealistele õpilastele ja mille ainus eesmärk oli juurdepääsu lihtsustamine ja kindlustamine, "nende eesmärkide saavutamiseks mittevajalikeks ega proportsionaalseteks".

Neid otsuseid saab võrrelda Rootsi järelevalveasutuse augusti lõpus tehtud otsusega koolides näotuvastuse kontekstis, seekord eesmärgiga jälgida kohalkäimist.

  • Euroopas:

Seaduse rikkumise eest makstav hüvitis: Tingimused, mille alusel saab üksikisik oma õiguste rikkumise korral hüvitist nõuda, on kohtupraktikaga selgitatud.

Londoni Apellatsioonikohtu 2. oktoobril langetatud uusim otsus määrab Google'ile hüvitise enam kui nelja miljoni kasutaja iPhone'ides toimunud andmete petturliku kogumise eest, kui kahju kohta pole tõendeid esitatud: kohus täpsustab, et inimese kontrollil oma andmete üle on väärtus, seega peab ka selle kontrolli kaotamisel olema väärtus.

Seega saab inimene seaduse alusel hüvitist saada ilma rahalist kahju või kannatusi tõendamata.

Märgime seost selle otsuse ja isikuandmete kaitse üldmääruse artikli 82 vahel, mis sätestab materiaalse ja mittemateriaalse kahju olemasolu ning jätab andmetöötlejale tõendamiskoormise, et ta ei ole kahju eest vastutav.

  • Ameerika Ühendriikides:

Rahvusvaheline andmeedastus: 23. oktoobril avaldas Euroopa Komisjon Privaatsuskilbi kolmanda iga-aastase läbivaatamise järeldused. See kilbi protokoll reguleerib andmete edastamist Ameerika Ühendriikidesse ettevõtete jaoks, kes on sellega liitunud.

Aruandes kinnitatakse, et süsteem pakub jätkuvalt piisavat kaitsetaset.

See toob esile „Kilbi“ rakendamisel tehtud edusamme ja mainib allesjäänud nõrkusi, sealhulgas (uuesti)sertifitseerimise saamiseks kuluvat aega ja mõnede ettevõtete esitatud valeandmete kontrollimist sertifitseerimise kohta.

Avastage Viqtor®
etET
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT fiFI lvLV lt_LTLT sk_SKSK sl_SISL etET