اللائحة العامة لحماية البيانات ، نظام خصوصية جديد ، كابوس جديد للشركات المتوسطة والكبيرة والشركات الصغيرة والمتوسطة

(بواسطة Andrea Puligheddu) أصبح التشريع الأوروبي الجديد بشأن حماية البيانات الشخصية على عاتقنا ، ومعه يتم ابتكار نظام الخصوصية بالكامل المعمول به حاليًا في البلدان الأوروبية. على الرغم من حدوث تدخلات أكثر أو أقل موثوقية لبعض الوقت الآن فيما يتعلق بالتفسير الذي سيتم منحه لبعض الابتكارات المقدمة (سجل العلاجات ، تقييم التأثير على حماية البيانات الشخصية ، مسؤول حماية البيانات ، إلخ.) جزء - غير مستعد تمامًا حتى بالنسبة للالتزامات الوثائقية والتنظيمية الأساسية السارية بالفعل - بموجب قانون الخصوصية - لمدة عشرين عامًا حتى الآن. وهذا ما تؤكده نتائج بحث أجرته Senzing ، وهي شركة تكنولوجيا معلومات في كاليفورنيا ، بعنوان "Finding The Missing Link in GDPR Compliance" ، حيث أفادت نصف الشركات (43٪) في إيطاليا من عينة من آلاف الشركات تعلن أنها "منزعجة" ، بينما يظهر العديد من الآخرين نقصًا بسيطًا ومثيرًا للقلق في المعرفة بالالتزامات والعقوبات الناتجة عن عدم الامتثال للائحة العامة لحماية البيانات. ما هو الملف الشخصي ، من بين العديد ، الذي يبرز باعتباره الأكثر أهمية والذي تم التقليل من شأنه في هذه الظروف؟ بالطبع ، الجواب بسيط: أمن البيانات الشخصية المعالجة.

لا يكفي قراءة الأنباء المزمنة عن الخرق للبنى التحتية العامة والعامة شبه العامة (الاتصالات الهاتفية ، المستشفيات ، النقل ، الطاقة ، إلخ) لإعطاء دليل على وجود خطر قائم. إن نسيج الأعمال الوطني ينطوي على خطر ، مرة أخرى ، على القيمة التي تولدها البيانات الشخصية التي تتم معالجتها فقط ولنقص الوعي وعدم المساءلة. الخاسرين، دون رسم الخيال نهاية العالم التكنولوجي، والمخاطر التي تتعلق في نهاية المطاف (الأشخاص الذين يتصل البيانات الشخصية) الذين يواجهون انعدام الأمن يمكن أن يكون الكائن غير قصد الضغط من حقوقهم وحرياتهم. وبهذا المعنى ، بالإشارة إلى الجانب الأمني ، يقترح الناتج المحلي الإجمالي (وهذا هو اختصار لتنظيم حماية البيانات العامة) في الفن. 32 تغيير كامل للعقلية ، والتبديل الثقافي الحقيقي. يتم تحديد ذلك في حقيقة أن: مع الأخذ بعين الاعتبار حالة من الفن وتكاليف التنفيذ، فضلا عن الطبيعة، من وجوه، والسياق والغرض من العلاج، فضلا عن مخاطر متفاوتة احتمال وشدة لحقوق وحريات الأشخاص الطبيعيين ، يجب على المراقب المالي ووحدة التحكم وضع التدابير التقنية والتنظيمية المناسبة لضمان مستوى من الأمن مناسب للمخاطر ، والتي تشمل ، في جملة أمور ، عند الاقتضاء:

أ) الاسم المستعار وتشفير البيانات الشخصية ؛

ب) القدرة على ضمان السرية ونزاهة وتوافر ومرونة أنظمة المعالجة والخدمات على أساس دائم ؛

ج) القدرة على استعادة فورا توافر وصول البيانات الشخص- منهم في حالة حادث المادي أو التقني؛

د) إجراء اختبار والتحقق منها وبشكل منتظم تقييم فعالية التدابير التقنية والتنظيمية لضمان سلامة العلاج.

تحدد اللائحة بعد ذلك النهج للأمن باعتباره لحظة حقيقية لملكية المالك (بما يتماشى مع مبدأ المساءلة بموجب المادة 25) وتعتزم إعطاء إسفنج حقيقي للأسلوب التبسيطي المتكرر من قبل الشركات (كذلك لأهمية استراتيجية معينة) فيما يتعلق بالوقاية من المخاطر ، يرجى الرجوع إلى مجرد فحص قياسي أو فقط الحد الأدنى من التدابير الموجودة في ALL. ب من المرسوم التشريعي ن. 196 / 2003 ، قانون الخصوصية السابق.

مع هذا التصرف على GDPR بالتأكيد لا تنوي الاتصال أن التدابير الأمنية التي تم تحديدها حتى الآن من إجراءات تنظيمية وشبه التنظيمية (مثل تلك التي وضعتها المبادئ التوجيهية AGID للإدارات العامة) يجب أن تختفي: على العكس من ذلك، فإن الغرض من القواعد هو توليد استباقية من المالك ، والتي تعتبر مجزية وفقا لآلية تمليها مبدأ المساءلة المذكورة أعلاه. وبهذا المعنى ، يقترح النظام أربعة معايير يجب أخذها في مثال واعتمدت فقط إذا كان ذلك مناسبًا. وعلى وجه الخصوص يقترح النظر في اعتماد احترام pseudonymisation الفني لالبيانات الشخصية معالجتها (وهي العملية التي تضمن أن يتم تخزين البيانات في شكل التي لا تعرف مباشرة على شخص معين دون استخدام المعلومات الإضافية)، وتوفير أساس السرية الدائمة ، والنزاهة ، وتوافر ومرونة أنظمة وخدمات المعالجة ، واعتماد نظم استعادة القدرة على العمل مع الكوارث ، وافتراض إجراءات الاختبارات الدورية للتحقق من كفاءة الإجراءات الأمنية المعتمدة. وبهذه الطريقة ، يصمم الناتج المحلي الإجمالي عملية أمنية حقيقية ، قادرة على ضمان تركيز أمني معقول على جزء المالك. وعلاوة على ذلك، فإن القاعدة مستمرة لتحديد أن "في تقييم مستوى مناسب من الأمن يؤخذ في الاعتبار بصفة خاصة المخاطر التي تمثلها معالجة الناتجة بشكل خاص من التدمير والهلاك أو تعديل أو إفشاء غير المصرح به أو الوصول إليها، في بطريقة عرضية أو غير قانونية ، إلى البيانات الشخصية المنقولة أو المخزنة أو المعالجة بطريقة أخرى. التمسك رمز المتفق عليها السلوك المشار إليها في المادة 40 أو آلية إصدار الشهادات المعتمدة في المادة 42 يمكن استخدامها كعنصر لإثبات الامتثال للمتطلبات المشار إليها في الفقرة من هذه المادة 1 ".

لذلك ، يلزم إجراء تقييمات مخاطر محددة ، على أساس التآزر مع الأحكام الأخرى التي يغطيها الناتج المحلي الإجمالي ، مثل خرق البيانات ومدونات السلوك والمعالجة غير المشروعة للبيانات الشخصية وآليات إصدار الشهادات. وأخيرا، يتم تحديد ذلك - على الرغم من أنه من المفهوم - عرض للجزء الأمامي من الطوق: "وحدة تحكم البيانات والتحكم يجب أن تضمن أن أي شخص يتصرف تحت سلطتهم والوصول إلى البيانات الشخصية سواء كانت هذه البيانات إذا لم يكن تعليمات للقيام بذلك من قبل المراقب ، ما لم يتطلب ذلك قانون الاتحاد أو دولة عضو ". وخارقا للدورة كاملة بالطبع المالك وبهذا المعنى، في انتظار التطورات الجديدة التي تمليها الممارسات والتفسيرات التي تجري، وهذا التوقع هو مرة واحدة يتفق مرة أخرى مع مبدأ المساءلة وتسعى إلى منع جزء من سلسلة التوريد عرضة للأمن.

يبقى العديد من الأسئلة المفتوحة: ما هي التدابير الأمنية المناسبة؟ ما هي المعايير التي يحتاج كل حامل إلى إعادتها لضمان الامتثال في قطاع الأمن؟ ما أفضل الممارسات؟

قبل بضعة أيام من سريان اللائحة ، تظل هذه الأسئلة المفتوحة التي تشكك في كل من القطاعات الاستراتيجية لإنتاجية الدولة والشركات الصغيرة والمتوسطة.

GDPR, قناة PRP

قناة PRP | الآراء التي, قناة PRP | 19 March 2018 22: 35

الناتج المحلي الإجمالي ، نظام جديد للخصوصية ، كابوس جديد للشركات متوسطة الحجم والشركات الصغيرة والمتوسطة

دي مايو - وافق سالفيني بالفعل على روسيا والولايات المتحدة مع عدد أقل من الاتحاد الأوروبي

Aeronautica Militare: رحلة صحية عاجلة من ألغيرو إلى جنوا لسنوات 2 لخطر الحياة