(autor Andrea Puligheddu) Isikuandmete kaitset käsitlevad uued Euroopa õigusaktid on käes ja koos sellega uuendatakse kogu Euroopa riikides praegu kehtivat privaatsussüsteemi. Ehkki juba mõnda aega on toimunud enam-vähem autoriteetseid sekkumisi seoses mõnede kasutusele võetud uuenduste tõlgendamisega (raviregister, isikuandmete kaitsele avaldatava mõju hindamine, andmekaitseametnik jne) osa - täiesti ettevalmistamata isegi juba kakskümmend aastat kehtivate dokumentide ja organisatsiooniliste põhikohustuste osas - vastavalt privaatsusseadustikule. Seda kinnitavad California IT-ettevõtte Senzingi poolt läbi viidud uuringu "Puuduva lingi leidmine GDPR-i vastavuses" tulemused, mille kohaselt pooled (43%) Itaalia ettevõtetest tuhandete ettevõtete valimist ta kuulutab end "ärevaks", samas kui mitmed teised demonstreerivad lihtsat ja häirivat teadmiste puudumist GDPR-i mittejärgimisest tulenevate kohustuste ja karistuste kohta. Mis on paljude seas profiil, mis nendes oludes kõige kriitilisem ja alahinnatud on? Muidugi on vastus lihtne: töödeldud isikuandmete turvalisus.
Ei piisa sellest, et lugeda kroonilisi uudiseid avalikkuse ja avalik-õiguslike kriitiliste infrastruktuuride (telefon, haiglad, transport, energia jne) kohta, et tõendada olemasolevat riski. Riiklik äriettevõtte struktuur võib taas kord väljendada ainult nende isikuandmete töötlemist, mida töödeldakse ainult teadlikkuse puudumise ja aruandekohustuse puudumise tõttu. Kaotada teadusliku fikseerimise apokalüpste kujundamine tõenäoliselt lõppkokkuvõttes (isikuid, kellele isikuandmeid nimetatakse), kes seisavad silmitsi turvalisuse puudumisega, võiks olla nende õiguste ja vabaduste koormamise teadvuseesmärk. Selles mõttes viitab julgeoleku poolel GDPR (see on üldise andmekaitse määruse lühend) artiklisse. 32 on mentaliteedi täielik muutus, tõeline kultuuriline lüliti. On täpsustatud, et: võttes arvesse tehnika taset ja rakendamise kulusid, samuti ravi olemust, eset, konteksti ja eesmärki, samuti erineva tõenäosuse ja tõsiduse riski õiguste ja vabaduste suhtes füüsilised isikud, vastutav töötleja ja vastutav töötleja kehtestavad asjakohased tehnilised ja organisatsioonilised meetmed, et tagada ohule vastav turvalisuse tase, mis muu hulgas sisaldab vajaduse korral järgmist:
a) isikuandmete pseudonüümimine ja krüptimine;
b) suutlikkus tagada pidevalt töötlemissüsteemide ja -teenuste konfidentsiaalsus, terviklikkus, kättesaadavus ja vastupidavus;
c) võime füüsilise või tehnilise juhtumi korral viivitamatult taastada isikuandmete kättesaadavus ja juurdepääs neile;
d) tehniliste ja korralduslike meetmete tõhususe katsetamise, kontrollimise ja korrapärase hindamise menetlus, et tagada ravi turvalisus.
Kõnealuse määrusega kehtestatakse seega turvalisuse lähenemisviisi reaalajas omanikule Empowerment (kooskõlas vastutuspõhimõte kunstis. 25) ja soovib sellele anda tõeline löök hävitada Lihtsustatult on tihti vastu võetud ettevõtted (ka teatav strateegiline tähtsus), mis seoses riskiennetusega viitavad üksnes standardsele kontrollile või ainult kõigis KM-s sisalduvatele miinimummeetmetele. Seadusandliku dekreedi nr. 196 / 2003, eelmine privaatsuskood.
Selle aktiga ei kavatse GDPR kindlasti teatada, et regulatiivsete ja para-regulatiivsete aktidega seni tuvastatud turvameetmed (näiteks need, mis on sanktsioneeritud avaliku halduse AGID-i suunistes) peavad kaduma: vastupidi, määruse eesmärk on omaniku proaktiivsuse tekitamine, kes peab ennast autasustatuks vastavalt mehhanismile, mille dikteerib eespool nimetatud vastutuspõhimõte. Selles mõttes teeb määrus ettepaneku nelja kriteeriumi kohta, mida tuleks eeskujuks võtta ja mis võetakse vastu ainult vajaduse korral. Eelkõige soovitatakse kaaluda pseudonüümseks muutmise tehnikate kasutuselevõttu seoses töödeldavate isikuandmetega (protsess, mis tagab andmete salvestamise vormingus, mis ei võimalda konkreetset isikut otseselt tuvastada ilma täiendava teabe kasutamiseta), ravisüsteemide ja -teenuste konfidentsiaalsus, terviklikkus, kättesaadavus ja vastupidavus, võtta kasutusele hädaolukorra taastamise süsteemid ja hüpoteesida korrapäraseid katsemenetlusi, et kontrollida vastuvõetud turvameetmete tõhusust. Nii kavandab GDPR tõelise turvaprotsessi, mis suudab tagada omanikule mõistliku turvakeskme. Lisaks täpsustatakse standardis, et "piisava turvalisuse taseme hindamisel võetakse eriti arvesse töötlemisega seotud riske, mis tulenevad eelkõige hävitamisest, kadumisest, muutmisest, loata avalikustamisest või juurdepääsust, eriti juhuslikul või ebaseaduslikul viisil edastatud, salvestatud või muul viisil töödeldud isikuandmetele. Artiklis 40 osutatud heakskiidetud tegevusjuhendi või artiklis 42 osutatud tunnustatud sertifitseerimismehhanismi järgimist võib kasutada käesoleva artikli lõikes 1 osutatud nõuetele vastavuse tõendamiseks. ”
Seetõttu on vaja hinnata konkreetseid riske, mis on parameetrideks koostoimes teiste GDPR-i reguleeritud sätetega, näiteks andmetega seotud rikkumised, käitumisjuhendid, isikuandmete ebaseaduslik töötlemine ja sertifitseerimismehhanismid. Lõpuks täpsustatakse määratletava esikülje laius - ehkki see oli intuitiivne: "Vastutav töötleja ja andmetöötleja tagavad, et igaüks, kes tegutseb nende alluvuses ja kellel on juurdepääs isikuandmetele, ei töötle selliseid andmeid, kui need pole vastutava töötleja käskkirjaga, välja arvatud juhul, kui liidu või liikmesriikide õigus seda nõuab. " Kogu tsükli deus ex machina on loomulikult omanik ja selles mõttes on see säte kuni vastastikku järgitavate tavade ja tõlgenduste dikteerituna taas kooskõlas aruandekohustuse põhimõttega ja selle eesmärk on vältida osa tarneahelast on turvalisuse seisukohalt haavatav.
Jääb veel palju avatud küsimusi: millised on asjakohased turvameetmed? Milliseid standardeid peab iga omanik uuesti tegema, et tagada vastavus turvasektoris? Millised parimad tavad?
Mõni päev enne määruse kohaldamist on need küsimused avatud, mis seab kahtluse alla nii riigi tootlikkuse strateegilised sektorid kui ka VKEd.