(Federica De Stefani, právnička a vedúca spoločnosti Aidr Regione Lombardia) Počúvame (stále viac), že často hovoríme o porušení údajov a žiadosť, ktorá z neho pochádza, sa takmer prirodzene týka možnosti vyhnúť sa mu alebo aspoň obmedziť jeho šírenie. to.
Odpoveď je, žiaľ, záporná, nie je možné vyhnúť sa úniku údajov, pretože „nulové riziko“ neexistuje.
Určite je možné obmedziť príležitosti na pád do „pasce“ kybernetického incidentu a taktiež je možné obmedziť dôsledky, ktoré z toho vyplývajú, ale to je iná vec.
Na pochopenie fenoménu narušenia údajov, ktorý je veľmi často identifikovaný výlučne pomocou hackerského útoku, je potrebné pochopiť, čo to je.
Čo je porušenie údajov
Pojem „porušenie ochrany údajov“ označuje narušenie bezpečnosti, ktoré zahŕňa - náhodne alebo nezákonne - zničenie, stratu, úpravu, neoprávnené zverejnenie alebo prístup k prenášaným, uchovávaným alebo inak spracúvaným osobným údajom.
Ako vidíte, porušenie údajov môže zahŕňať stratu údajov, ktorá nepochádza z hackerského útoku, ale môže tiež vyplývať zo straty ich dostupnosti, ako sa to deje v hypotéze, v ktorej existuje napr. krádež zariadenia ...
Keď dôjde k narušeniu údajov
Druhy narušenia ochrany údajov sú dosť rozmanité, a preto ako príklad môžeme v prípade označiť prístup alebo získavanie údajov neoprávnenými tretími stranami, odcudzenie alebo stratu zariadení IT obsahujúcich osobné údaje. údaje z dôvodu náhodných príčin alebo vonkajších útokov, vírusov, malwaru atď., úmyselnej zmeny osobných údajov, straty alebo zničenia osobných údajov v dôsledku nehôd, nepriaznivých udalostí, požiarov alebo iných katastrof, neoprávneného zverejnenia osobných údajov.
Kde môže dôjsť k narušeniu údajov
Porušenie ochrany údajov, chápané, ako je uvedené, ako porušenie, ktoré ovplyvňuje dostupnosť, integritu a dôvernosť údajov, sa môže týkať akejkoľvek oblasti, fyzickej aj digitálnej.
Myslite napríklad na zničenie papierového archívu alebo krádež dokumentov alebo opäť ich falšovanie a pozmeňovanie.
Subjekty, ktorých sa porušenie ochrany údajov týka
Únik údajov predstavuje udalosť, ktorá v závislosti od konkrétnych charakteristík konkrétneho prípadu môže zahŕňať rôzne subjekty.
Prevádzkovateľom údajov je osoba, ktorá podľa čl. 33 GDPR, musí byť aktivovaný bez zbytočného odkladu, a pokiaľ je to možné, do 72 hodín od okamihu, keď sa stal známym, oznámiť porušenie záručnému listu za ochranu osobných údajov, s výnimkou hypotézy, v ktorej je nepravdepodobné, že by porušenie osobných údajov predstavuje riziko pre práva a slobody jednotlivcov. Naopak, ak porušenie predstavuje vysoké riziko pre práva a slobody fyzických osôb, vlastník o tom musí vždy bezodkladne informovať aj zainteresované strany. V prípade, že bol spracovateľ údajov vymenovaný, keď sa dozvie o porušení, je povinný bezodkladne informovať vlastníka, aby mohol konať.
Príčiny narušenia údajov
Ako už bolo spomenuté, porušenie ochrany údajov je narušením bezpečnosti, ktoré zahŕňa - náhodne alebo nezákonne - zničenie, stratu, úpravu, neoprávnené zverejnenie alebo prístup k spracúvaným údajom, čo v praxi znamená, že prijaté bezpečnostné opatrenia nefungujú. Nesmieme však spadnúť do omylu automatického spájania porušenia ochrany údajov s primeranosťou opatrení prijatých na jeho odvodenie z hľadiska jednoduchosti a (objektívnej) zodpovednosti správcu údajov. Otázka je oveľa komplexnejšia, pretože GDPR neustanovuje zodpovednosť tohto druhu na strane vlastníka, ale poskytuje možnosť preukázať, že urobil všetko, čo je v jeho silách, na ochranu spracovávaných údajov. .
Ľudský faktor a dôležitosť školenia
Ak na jednej strane nie je možné úplne eliminovať udalosť narušenia ochrany údajov, pretože podľa očakávania nulové riziko neexistuje, na druhej strane je potrebné sa opýtať na stratégie a opatrenia, ktoré je potrebné prijať na obmedzenie rizika tak, ako možné.
Okrem „adekvátnych“ technických a organizačných opatrení, ako je to v terminológii európskeho nariadenia, je dôležitou súčasťou prevencie odborná príprava zamestnancov.
Ľudský faktor dodnes predstavuje v mnohých realitách, dokonca štruktúrovaných a veľkých, pomerne rozšírenú Achillovu pätu.
Nedostatok adekvátneho a špecifického školenia, absencia adekvátnych politík využívania nástrojov a postupov IT sú v dnešnej dobe stále dosť rozšírenými príčinami narušenia ochrany údajov.
Jadrom veci je nielen typ prijatej ochrany, ale aj spôsob jej aplikácie, aktualizácia a špecifické školenie subjektov, ktoré údaje spracúvajú.
V skutočnosti nemožno zabúdať, že súlad musí prebiehať na viacerých úrovniach, musí byť prierezový a nemôže sa týkať len technickej stránky a kybernetickej bezpečnosti, ale aj organizačného a procesného aspektu takzvaného ľudského faktora.