Bezpečnosť údajov: mýliť sa je (často) ľudské

Právne správy – november 2019.

Bezpečnosť údajov: mýliť sa je (často) ľudské. K tomuto záveru dospeli verejné orgány zodpovedné za ochranu osobných údajov na stretnutí v Tirane od 21. do 24. októbra.

Na medzinárodnej konferencii, ktorá každoročne združuje orgány dohľadu, súkromný sektor a občiansku spoločnosť, bolo prijatých niekoľko uznesení.

Patria sem dve uznesenia zamerané na zlepšenie spolupráce medzi verejnými orgánmi cez hranice a na lepšie vykonávanie GDPR, uznesenie o sociálnych médiách a násilnom extrémistickom obsahu a uznesenie, ktorým sa tu zaoberáme, o ľudskej chybe pri narušeniach bezpečnosti.

Pripomíname, že podľa GDPR sa narušenie bezpečnosti týka akejkoľvek situácie, v ktorej sú osobné údaje náhodne alebo nezákonne:

• Zničené
• Stratený
• Zmenené
• Zverejnené
• Alebo keď sa zistí neoprávnený prístup k údajom.

Ide teda o obzvlášť široký rozsah pôsobnosti s dôsledkami pre prevádzkovateľa údajov, ktorý musí v závislosti od dopadu narušenia bezpečnosti informovať CNIL a osoby dotknuté incidentom.

Viac ako rok po nadobudnutí účinnosti GDPR vidíme, že veľká časť pokút uložených za nedodržiavanie nariadenia je spôsobená nedostatočnou bezpečnosťou spracovania údajov. 

Rôzne orgány v Európe tiež dostali veľké množstvo oznámení a začínajú mať jasnejší obraz o pôvode bezpečnostných problémov, čo by malo pomôcť zlepšiť prevenciu v tejto oblasti.

Pozorovanie je nasledovné: Veľká časť narušení bezpečnosti pochádza z neúmyselného zverejnenia informácií zamestnancami neoprávneným príjemcom alebo osobám, ktoré boli uvedené do omylu na prenos identifikátorov a prístupových kódov k informáciám.

Okrem implementácie robustných techník ochrany údajov pri návrhu systémov („ochrana súkromia už v štádiu návrhu“) uznesenie vyzýva na rozvoj kultúry ochrany údajov v rámci spoločnosti. Zdôrazňujú sa tieto opatrenia:

• Pravidelné školenia, vzdelávacie a osvetové programy pre zamestnancov v oblasti „súkromia“ a bezpečnosti údajov;
• Školenie v oblasti odhaľovania a hlásenia narušení bezpečnosti;
• Pravidelné monitorovanie a audity postupov a systémov zavedených na ochranu údajov.

Užitočná pripomienka: šifrovanie zostáva v kombinácii s ďalšími technickými a organizačnými opatreniami veľmi dôležitým prostriedkom ochrany údajov. CNIL a ANSSI (francúzska agentúra na ochranu údajov) zverejnili v októbri online množstvo praktických informácií pri príležitosti Mesiaca kybernetickej bezpečnosti.

A tiež:

• Vo Francúzsku:

Francúzsky dozorný orgán zverejnil svoj plán na roky 2019 – 2021 v polovici októbra. s cieľom komunikovať svoje priority v oblasti ochrany osobných údajov. Existuje päť oblastí práce:

• Digitálne výzvy každodenného života občanov;
• Vyvážená regulácia (podporné a represívne opatrenia);
• Významná investícia do európskej spolupráce;
• Špičkové odborné znalosti v oblasti digitálnej a kybernetickej bezpečnosti;
• Inovatívne poslanie verejnej služby založené na humanistických hodnotách.

CNIL tiež 17. októbra zaujala stanovisko k dvom systémom rozpoznávania tváre implementované v školách.

Tieto projekty, ktoré sa vzťahovali na študentov, ktorí boli väčšinou neplnoletí, a ktorých jediným cieľom bolo zefektívnenie a zabezpečenie prístupu, považovala za „ani nevyhnutné, ani primerané na dosiahnutie týchto cieľov“.

Tieto rozhodnutia možno porovnať s rozhodnutím, ktoré prijal švédsky dozorný orgán koncom augusta v súvislosti s rozpoznávaním tvárí v školách, tentoraz s cieľom monitorovať dochádzku.

• V Európe:

Odškodnenie za porušenie zákona: Podmienky, za ktorých môže jednotlivec požadovať odškodnenie v prípade porušenia svojich práv, sú objasnené judikatúrou.

Najnovšie rozhodnutie, ktoré 2. októbra prijal londýnsky odvolací súd, priznáva odškodnenie za podvodné zhromažďovanie údajov spoločnosťou Google o iPhonoch viac ako štyroch miliónov používateľov bez preukázania škody: súd uvádza, že kontrola osoby nad jej údajmi má svoju hodnotu, takže aj strata tejto kontroly musí mať svoju hodnotu.

Preto môže osoba získať odškodnenie podľa zákona bez toho, aby preukázala finančnú stratu alebo ťažkosti.

Poznamenávame súvislosť medzi týmto rozhodnutím a článkom 82 GDPR, ktorý stanovuje existenciu majetkovej a nemajetkovej ujmy a dôkazné bremeno o tom, že nie je zodpovedný za škodu, ponecháva na prevádzkovateľovi údajov.

• V Spojených štátoch:

Medzinárodné prenosy údajov: Európska komisia 23. októbra zverejnila závery tretieho výročného preskúmania „štítu na ochranu osobných údajov“, ktorý upravuje prenos údajov do Spojených štátov pre spoločnosti, ktoré sa k nemu prihlásili.

Správa potvrdzuje, že systém naďalej poskytuje primeranú úroveň ochrany.

Zdôrazňuje zlepšenia dosiahnuté pri implementácii „štítu“ a uvádza pretrvávajúce nedostatky vrátane dĺžky času potrebného na získanie (opätovnej) certifikácie a overenie nepravdivých tvrdení o certifikácii zo strany niektorých spoločností.