Datu drošība: kļūdīties (bieži vien) ir cilvēcīgi

Juridiskā uzraudzība – 2019. gada novembris.

Datu drošība: kļūdīties (bieži) ir cilvēcīgi. Pie šāda secinājuma nonāca par personas datu aizsardzību atbildīgās valsts iestādes, tiekoties Tirānā no 21. līdz 24. oktobrim.

Starptautiskajā konferencē, kurā katru gadu pulcējas uzraudzības iestādes, privātais sektors un pilsoniskā sabiedrība, tika pieņemtas vairākas rezolūcijas.

Starp tām ir divas rezolūcijas, kuru mērķis ir uzlabot sadarbību starp valsts iestādēm pāri robežām un labāk īstenot GDPR, rezolūcija par sociālajiem medijiem un vardarbīga ekstrēmistu saturu, kā arī rezolūcija, ar kuru mēs šeit nodarbojamies, par cilvēciskām kļūdām drošības pārkāpumos.

Atgādinām, ka saskaņā ar GDPR drošības pārkāpums attiecas uz jebkuru situāciju, kurā personas dati nejauši vai nelikumīgi tiek:

• Iznīcināts
• Pazaudēts
• Izmainīts
• Atklāts
• Vai arī, ja tiek novērota neatļauta piekļuve datiem.

Tāpēc šī ir īpaši plaša piemērošanas joma, kas rada sekas datu pārzinim, kuram atkarībā no drošības pārkāpuma ietekmes ir jāpaziņo CNIL un personām, kuras skāris incidents.

Vairāk nekā gadu pēc GDPR stāšanās spēkā mēs redzam, ka liela daļa sodu, kas piemēroti par Regulas neievērošanu, ir saistīti ar drošības trūkumu datu apstrādē. 

Arī dažādas iestādes Eiropā ir saņēmušas lielu skaitu paziņojumu un sāk skaidrāk izprast drošības problēmu cēloņus, kam vajadzētu palīdzēt uzlabot preventīvos pasākumus šajā jomā.

Novērojums ir šāds: Liela daļa drošības pārkāpumu rodas tāpēc, ka darbinieki netīši atklāj informāciju neatļautām saņēmējiem vai personām, kas maldinātas, lai pārsūtītu identifikatorus un piekļuves kodus informācijai.

Papildus spēcīgu datu aizsardzības metožu ieviešanai sistēmu izstrādē ("privātums pēc konstrukcijas") rezolūcijā tiek aicināts attīstīt datu aizsardzības kultūru uzņēmumā. Tiek izcelti šādi pasākumi:

• Regulāras apmācības, izglītošanas un izpratnes veicināšanas programmas darbiniekiem par “privātuma” un datu drošības aspektiem;
• Apmācība drošības pārkāpumu atklāšanā un ziņošanā;
• Regulāra datu aizsardzības prakses un sistēmu uzraudzība un auditi.

Noderīgs atgādinājums: šifrēšana joprojām ir ļoti svarīgs datu aizsardzības līdzeklis apvienojumā ar citiem tehniskiem un organizatoriskiem pasākumiem. CNIL un ANSSI (Francijas Datu aizsardzības aģentūra) oktobrī publicēja plašu praktiskas informācijas klāstu tiešsaistē, atzīmējot kiberdrošības mēnesi.

Un arī:

• Francijā:

Francijas uzraudzības iestāde savu 2019.–2021. gada ceļvedi publicēja oktobra vidū. lai paziņotu savas prioritātes attiecībā uz personas datu aizsardzību. Ir piecas darba jomas:

• Pilsoņu ikdienas dzīves digitālie izaicinājumi;
• Sabalansēts regulējums (atbalsta un represīvas darbības);
• Nozīmīgs ieguldījums Eiropas sadarbībā;
• Visprogresīvākā pieredze digitālajā un kiberdrošības jomā;
• Inovatīva sabiedriskā dienesta misija, kuras pamatā ir humānisma vērtības.

CNIL 17. oktobrī arī pauda nostāju par divām sejas atpazīšanas sistēmām. ieviests skolās.

Viņa uzskatīja, ka šie projekti, kas tika piemēroti studentiem, kuri pārsvarā bija nepilngadīgi, un kuru vienīgais mērķis bija racionalizēt un nodrošināt piekļuvi, nav "ne nepieciešami, ne samērīgi šo mērķu sasniegšanai".

Šos lēmumus var salīdzināt ar Zviedrijas uzraudzības iestādes augusta beigās pieņemto lēmumu sejas atpazīšanas sistēmā skolās, šoreiz ar mērķi uzraudzīt apmeklētību.

• Eiropā:

Kompensācija par likuma pārkāpumu: Nosacījumus, saskaņā ar kuriem indivīds var pieprasīt kompensāciju savu tiesību pārkāpuma gadījumā, precizē judikatūra.

Jaunākais Londonas Apelācijas tiesas lēmums, kas pieņemts 2. oktobrī, piespriež kompensāciju par Google krāpniecisku datu vākšanu vairāk nekā četru miljonu lietotāju iPhone tālruņos, ja nav pierādījumu par nodarīto kaitējumu: tiesa norāda, ka personas kontrolei pār saviem datiem ir vērtība, tāpēc arī šīs kontroles zaudēšanai ir jābūt vērtībai.

Tādēļ persona var saņemt kompensāciju saskaņā ar likumu, nepierādot finansiālus zaudējumus vai ciešanas.

Mēs atzīmējam saikni starp šo lēmumu un GDPR 82. pantu, kas nosaka materiāla un nemateriāla kaitējuma esamību un uzliek datu pārzinim pienākumu pierādīt, ka tas nav atbildīgs par nodarīto kaitējumu.

• Amerikas Savienotajās Valstīs:

Starptautiskā datu pārsūtīšana: 23. oktobrī Eiropas Komisija publicēja trešās ikgadējās "Privātuma vairoga" pārskatīšanas secinājumus, kas regulē datu pārsūtīšanu uz Amerikas Savienotajām Valstīm uzņēmumiem, kuri ir tam pievienojušies.

Ziņojumā ir apstiprināts, ka sistēma turpina nodrošināt atbilstošu aizsardzības līmeni.

Tajā ir uzsvērti uzlabojumi, kas veikti “Shield” ieviešanā, un minētas atlikušās nepilnības, tostarp (atkārtotas) sertifikācijas iegūšanai nepieciešamais laiks un dažu uzņēmumu iesniegto nepatieso sertifikācijas apgalvojumu pārbaude.