Varnost podatkov: motiti se je (pogosto) človeško

Pravni pregled – november 2019.

Varnost podatkov: motiti se je (pogosto) človeško. Do tega sklepa so prišli javni organi, odgovorni za varstvo osebnih podatkov, na srečanju v Tirani od 21. do 24. oktobra.

Na mednarodni konferenci, ki vsako leto združuje nadzorne organe, zasebni sektor in civilno družbo, je bilo sprejetih več resolucij.

Med njimi sta dve resoluciji, namenjeni izboljšanju sodelovanja med javnimi organi čez mejo in boljšemu izvajanju GDPR, resolucija o družbenih medijih in nasilnih ekstremističnih vsebinah ter resolucija, ki jo obravnavamo tukaj, o človeških napakah pri kršitvah varnosti.

Spomnimo se, da se v skladu s Splošno uredbo o varstvu podatkov kršitev varnosti nanaša na vsako situacijo, v kateri so osebni podatki pomotoma ali nezakonito:

• Uničeno
• Izgubljeno
• Spremenjeno
• Razkrito
• Ali ko se opazi nepooblaščen dostop do podatkov.

Zato gre za še posebej široko področje uporabe, s posledicami za upravljavca podatkov, ki mora glede na vpliv kršitve varnosti o tem obvestiti CNIL in osebe, ki jih incident zadeva.

Več kot leto dni po začetku veljavnosti GDPR opažamo, da je velik delež glob, naloženih zaradi neskladnosti z uredbo, posledica pomanjkanja varnosti pri obdelavi podatkov. 

Različni organi v Evropi so prejeli tudi veliko število obvestil in začenjajo imeti jasnejšo sliko o izvoru varnostnih težav, kar bi moralo pripomoči k izboljšanju preprečevanja na tem področju.

Opazovanje je naslednje: Velik del varnostnih kršitev izvira iz nenamernega razkritja informacij s strani zaposlenih nepooblaščenim prejemnikom ali osebam, ki so bile zavedene pri posredovanju identifikatorjev in dostopnih kod do informacij.

Poleg uvajanja robustnih tehnik varstva podatkov pri zasnovi sistemov ("zasebnost že pri načrtovanju") resolucija poziva k razvoju kulture varstva podatkov znotraj podjetja. Poudarjeni so naslednji ukrepi:

• Redni programi usposabljanja, izobraževanja in ozaveščanja zaposlenih o vidikih »zasebnosti« in varnosti podatkov;
• Usposabljanje za odkrivanje in poročanje o varnostnih kršitvah;
• Redno spremljanje in revizije praks in sistemov, ki se izvajajo za zaščito podatkov.

Koristen opomnik: šifriranje ostaja zelo pomembno sredstvo za zaščito podatkov v kombinaciji z drugimi tehničnimi in organizacijskimi ukrepi. CNIL in ANSSI (francoska agencija za varstvo podatkov) sta oktobra na spletu objavila obilico praktičnih informacij ob mesecu kibernetske varnosti.

In tudi:

• V Franciji:

Francoski nadzorni organ je sredi oktobra objavil svoj načrt za obdobje 2019–2021. da bi sporočila svoje prednostne naloge na področju varstva osebnih podatkov. Obstaja pet področij dela:

• Digitalni izzivi vsakdanjega življenja državljanov;
• Uravnotežena regulacija (podpora in represivni ukrepi);
• Pomembna naložba v evropsko sodelovanje;
• Vrhunsko strokovno znanje na področju digitalne in kibernetske varnosti;
• Inovativno poslanstvo javne službe, ki temelji na humanističnih vrednotah.

CNIL je 17. oktobra zavzela tudi stališče glede dveh sistemov za prepoznavanje obrazov izvajajo v šolah.

Menila je, da ti projekti, ki so bili namenjeni večinoma mladoletnim študentom in katerih edini cilj je bil poenostavitev in zagotovitev dostopa, "niso niti potrebni niti sorazmerni za dosego teh ciljev".

Te odločitve lahko primerjamo z odločitvijo, ki jo je švedski nadzorni organ sprejel konec avgusta v okviru prepoznavanja obrazov v šolah, tokrat z namenom spremljanja prisotnosti.

• V Evropi:

Odškodnina za kršitev zakona: Pogoji, pod katerimi lahko posameznik zahteva odškodnino v primeru kršitve svojih pravic, so pojasnjeni s sodno prakso.

Najnovejša odločitev, ki jo je londonsko pritožbeno sodišče sprejelo 2. oktobra, dodeljuje odškodnino za goljufivo zbiranje podatkov s strani Googla na iPhonih več kot štirih milijonov uporabnikov, če ni dokazov o škodi: sodišče določa, da ima posameznikov nadzor nad svojimi podatki vrednost, zato mora imeti vrednost tudi izguba tega nadzora.

Zato lahko oseba po zakonu zahteva odškodnino, ne da bi dokazala finančno izgubo ali stisko.

Opažamo povezavo med to odločitvijo in 82. členom GDPR, ki ugotavlja obstoj materialne in nematerialne škode ter prepušča upravljavcu podatkov dokazno breme, da ni odgovoren za škodo.

• V Združenih državah Amerike:

Mednarodni prenosi podatkov: Evropska komisija je 23. oktobra objavila sklepe tretjega letnega pregleda »ščita zasebnosti«, ki ureja prenos podatkov v Združene države Amerike za podjetja, ki so se vanj prijavila.

Poročilo potrjuje, da sistem še naprej zagotavlja ustrezno raven zaščite.

Poudarja izboljšave pri izvajanju "ščita" in omenja preostale slabosti, vključno s časom, potrebnim za pridobitev (ponovne) certifikacije, in preverjanjem lažnih trditev o certifikaciji, ki jih podajo nekatera podjetja.