Sigurnost podataka: griješiti je (često) ljudski

Pravni nadzor – studeni 2019.

Sigurnost podataka: griješiti je (često) ljudski. To je bio zaključak do kojeg su došle javne vlasti odgovorne za zaštitu osobnih podataka na sastanku u Tirani od 21. do 24. listopada.

Na međunarodnoj konferenciji, koja svake godine okuplja nadzorna tijela, privatni sektor i civilno društvo, usvojeno je nekoliko rezolucija.

To uključuje dvije rezolucije usmjerene na poboljšanje suradnje između javnih tijela preko granica i bolju provedbu GDPR-a, rezoluciju o društvenim mrežama i nasilnom ekstremističkom sadržaju te onu kojom se ovdje bavimo, o ljudskoj pogrešci u sigurnosnim propustima.

Podsjećamo, prema GDPR-u, kršenje sigurnosti odnosi se na svaku situaciju u kojoj se osobni podaci slučajno ili nezakonito:

• Uništeno
• Izgubljeno
• Izmijenjeno
• Objavljeno
• Ili kada se uoči neovlašteni pristup podacima.

Stoga je ovo posebno široko područje primjene, s posljedicama za voditelja obrade podataka koji, ovisno o utjecaju povrede sigurnosti, mora obavijestiti CNIL i osobe na koje se incident odnosi.

Više od godinu dana nakon stupanja na snagu GDPR-a, vidimo da je veliki udio kazni izrečenih za nepoštivanje Uredbe posljedica nedostatka sigurnosti u obradi podataka. 

Različita tijela u Europi također su primila velik broj obavijesti i počinju imati jasniju sliku o podrijetlu sigurnosnih problema, što bi trebalo pomoći u poboljšanju prevencije u ovom području.

Opažanje je sljedeće: Velik dio sigurnosnih propusta dolazi od nenamjernog otkrivanja informacija od strane zaposlenika neovlaštenim primateljima ili osobama koje su zavedene da prenesu identifikatore i pristupne kodove informacijama.

Uz primjenu robusnih tehnika zaštite podataka u dizajnu sustava („privatnost već u dizajnu“), rezolucija poziva na razvoj kulture zaštite podataka unutar tvrtke. Ističu se sljedeće mjere:

• Redoviti programi obuke, edukacije i osvješćivanja zaposlenika o aspektima „privatnosti“ i sigurnosti podataka;
• Obuka za otkrivanje i prijavljivanje sigurnosnih propusta;
• Redovito praćenje i revizije praksi i sustava implementiranih za zaštitu podataka.

Koristan podsjetnik: enkripcija ostaje vrlo relevantno sredstvo zaštite podataka, u kombinaciji s drugim tehničkim i organizacijskim mjerama. CNIL i ANSSI (Francuska agencija za zaštitu podataka) objavili su u listopadu mnoštvo praktičnih informacija na internetu povodom Mjeseca kibernetičke sigurnosti.

I također:

• U Francuskoj:

Francusko nadzorno tijelo objavilo je sredinom listopada svoj plan za razdoblje 2019.-2021. kako bi komunicirao svoje prioritete u pogledu zaštite osobnih podataka. Postoji pet područja rada:

• Digitalni izazovi svakodnevnog života građana;
• Uravnotežena regulacija (potpora i represivno djelovanje);
• Značajno ulaganje u europsku suradnju;
• Vrhunska stručnost u području digitalne i kibernetičke sigurnosti;
• Inovativna misija javne službe temeljena na humanističkim vrijednostima.

CNIL je također 17. listopada zauzeo stav o dvama sustavima za prepoznavanje lica implementirano u školama.

Smatrala je da ovi projekti, primijenjeni na studente koji su uglavnom bili maloljetni, a čiji je jedini cilj bio pojednostavljenje i osiguranje pristupa, nisu "ni nužni ni proporcionalni za postizanje tih ciljeva".

Ove odluke mogu se usporediti s onom koju je švedsko nadzorno tijelo donijelo krajem kolovoza u kontekstu prepoznavanja lica u školama, ovaj put s ciljem praćenja pohađanja nastave.

• U Europi:

Naknada za kršenje zakona: Uvjeti pod kojima pojedinac može tražiti odštetu u slučaju povrede svojih prava pojašnjeni su sudskom praksom.

Najnovija odluka, koju je Londonski žalbeni sud donio 2. listopada, dosuđuje odštetu za prijevarno prikupljanje podataka od strane Googlea na iPhoneima više od četiri milijuna korisnika, u nedostatku dokaza o šteti: Sud precizira da kontrola osobe nad svojim podacima ima vrijednost, pa gubitak te kontrole također mora imati vrijednost.

Stoga osoba može ostvariti odštetu prema zakonu bez dokazivanja financijskog gubitka ili teškoća.

Primjećujemo vezu između ove odluke i članka 82. GDPR-a, koji utvrđuje postojanje materijalne i nematerijalne štete te ostavlja teret dokazivanja da nije odgovoran za štetu na voditelju obrade podataka.

• U Sjedinjenim Američkim Državama:

Međunarodni prijenosi podataka: Europska komisija objavila je 23. listopada zaključke trećeg godišnjeg pregleda "Štita privatnosti", koji uređuje prijenos podataka u Sjedinjene Države za tvrtke koje su ga potpisale.

Izvješće potvrđuje da sustav i dalje pruža odgovarajuću razinu zaštite.

Ističe poboljšanja u provedbi „Štita“ i spominje preostale slabosti, uključujući vrijeme potrebno za dobivanje (ponovne) certifikacije i provjeru lažnih tvrdnji o certifikaciji koje iznose neke tvrtke.