Sécurité des données : l’erreur est (souvent) humaine

Duomenų saugumas: klysti (dažnai) yra žmogiška

„Legal Watch“ – 2019 m. lapkričio mėn.

Duomenų saugumas: klysti (dažnai) žmogiška. Prie tokios išvados priėjo už asmens duomenų apsaugą atsakingos valdžios institucijos, susitikusios Tiranoje spalio 21–24 d.

Tarptautinėje konferencijoje, kurioje kasmet suburiamos priežiūros institucijos, privatusis sektorius ir pilietinė visuomenė, buvo priimta keletas rezoliucijų.

Tarp jų yra dvi rezoliucijos, kuriomis siekiama pagerinti valdžios institucijų bendradarbiavimą tarpvalstybiniu mastu ir geriau įgyvendinti BDAR, rezoliucija dėl socialinės žiniasklaidos ir smurtinio ekstremistinio turinio bei rezoliucija, kurią nagrinėjame čia, dėl žmogaus klaidų saugumo pažeidimų atveju.

Primename, kad pagal BDAR saugumo pažeidimas yra bet kokia situacija, kai asmens duomenys netyčia ar neteisėtai:

  • Sunaikinta
  • Pasiklydęs
  • Pakeistas
  • Atskleista
  • Arba kai pastebima neteisėta prieiga prie duomenų.

Todėl tai yra ypač plati taikymo sritis, turinti pasekmių duomenų valdytojui, kuris, priklausomai nuo saugumo pažeidimo poveikio, privalo pranešti CNIL ir asmenims, kuriems incidentas daro įtaką.

Praėjus daugiau nei metams po BDAR įsigaliojimo, matome, kad didelė dalis baudų, skiriamų už reglamento nesilaikymą, yra susijusios su duomenų tvarkymo saugumo stoka. 

Įvairios Europos valdžios institucijos taip pat gavo daug pranešimų ir pradeda aiškiau suprasti saugumo problemų priežastis, o tai turėtų padėti pagerinti prevenciją šioje srityje.

Pastebėjimas yra toks: Didelė dalis saugumo pažeidimų kyla dėl to, kad darbuotojai netyčia atskleidžia informaciją neįgaliotiems gavėjams arba asmenims, kurie buvo suklaidinti ir perdavė identifikatorius bei prieigos kodus prie informacijos.

Be patikimų duomenų apsaugos metodų diegimo projektuojant sistemas („privatumas per projektavimą“), rezoliucijoje raginama įmonėje kurti duomenų apsaugos kultūrą. Išskiriamos šios priemonės:

  • Reguliarūs darbuotojų mokymai, švietimas ir informavimo programos apie „privatumą“ ir duomenų saugumo aspektus;
  • Mokymai, kaip aptikti ir pranešti apie saugumo pažeidimus;
  • Reguliarus duomenų apsaugos praktikos ir sistemų stebėjimas ir auditas.

Naudingas priminimas: šifravimas išlieka labai svarbia duomenų apsaugos priemone, derinama su kitomis techninėmis ir organizacinėmis priemonėmis. CNIL ir ANSSI (Prancūzijos duomenų apsaugos agentūra) spalio mėnesį internete paskelbė daug praktinės informacijos, skirtos kibernetinio saugumo mėnesiui paminėti.

Taip pat:

  • Prancūzijoje:

Prancūzijos priežiūros institucija savo 2019–2021 m. veiksmų planą paskelbė spalio viduryje. siekdama informuoti apie savo prioritetus asmens duomenų apsaugos srityje. Yra penkios darbo sritys:

  • Kasdienio piliečių gyvenimo skaitmeniniai iššūkiai;
  • Subalansuotas reguliavimas (parama ir represiniai veiksmai);
  • Reikšmingos investicijos į Europos bendradarbiavimą;
  • Pažangiausia skaitmeninės ir kibernetinio saugumo patirtis;
  • Novatoriška viešosios tarnybos misija, pagrįsta humanistinėmis vertybėmis.

CNIL spalio 17 d. taip pat išreiškė poziciją dėl dviejų veido atpažinimo sistemų įgyvendinama mokyklose.

Ji šiuos projektus, taikomus daugiausia nepilnamečiams studentams ir kurių vienintelis tikslas – supaprastinti ir užtikrinti prieigą, laikė „nei būtinais, nei proporcingais šiems tikslams pasiekti“.

Šiuos sprendimus galima palyginti su tuo, kurį Švedijos priežiūros institucija priėmė rugpjūčio pabaigoje dėl veido atpažinimo mokyklose, šį kartą siekiant stebėti lankomumą.

  • Europoje:

Kompensacija už įstatymo pažeidimą: Sąlygas, kuriomis asmuo gali reikalauti kompensacijos pažeidus jo teises, išaiškina teismų praktika.

Naujausiame Londono apeliacinio teismo spalio 2 d. priimtame sprendime priteisiama kompensacija už nesąžiningą „Google“ duomenų rinkimą daugiau nei keturių milijonų vartotojų „iPhone“ telefonuose, nesant žalos įrodymų: Teismas nurodo, kad asmens kontrolė per savo duomenis turi vertę, todėl šios kontrolės praradimas taip pat turi turėti vertę.

Todėl asmuo gali gauti kompensaciją pagal įstatymą neįrodydamas finansinių nuostolių ar sunkumų.

Atkreipiame dėmesį į šio sprendimo ir BDAR 82 straipsnio sąsają, kurioje nustatytas turtinės ir neturtinės žalos egzistavimas, o duomenų valdytojui tenka pareiga įrodyti, kad jis nėra atsakingas už žalą.

  • Jungtinėse Amerikos Valstijose:

Tarptautinis duomenų perdavimas: Spalio 23 d. Europos Komisija paskelbė trečiosios metinės „Privatumo skydo“, reglamentuojančio prie jo prisijungusių įmonių duomenų perdavimą į Jungtines Valstijas, peržiūros išvadas.

Ataskaitoje patvirtinama, kad sistema ir toliau užtikrina tinkamą apsaugos lygį.

Jame pabrėžiami „Skydo“ įgyvendinimo patobulinimai ir minimi likę trūkumai, įskaitant laiką, reikalingą (pakartotiniam) sertifikavimui gauti, ir kai kurių įmonių pateiktų melagingų sertifikavimo teiginių patikrinimą.

Atraskite Viqtor®
lt_LTLT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV sk_SKSK sl_SISL lt_LTLT