(ni Federica De Stefani, abugado at pinuno ng Aidr Regione Lombardia) Naririnig namin (higit pa at higit pa) na madalas na pinag-uusapan ang tungkol sa paglabag sa data at ang kahilingan na nagmula dito, halos natural, tungkol sa posibilidad na maiwasan ito o, kahit papaano, ng naglalaman ito
Ang sagot, sa kasamaang palad, ay negatibo, hindi posible na maiwasan ang isang paglabag sa data dahil ang "zero panganib" ay wala.
Tiyak na posible na limitahan ang mga pagkakataong mahulog sa "bitag" ng insidente sa cyber at posible ring limitahan ang mga kahihinatnan na nagmula dito, ngunit ito ay ibang usapin.
Upang maunawaan ang kababalaghan ng paglabag sa data, na madalas na nakilala nang eksklusibo sa isang pag-atake ng hacker, kinakailangang maunawaan kung ano ito.
Ano ang paglabag sa data
Ang terminong "paglabag sa data" ay nagpapahiwatig ng isang paglabag sa seguridad na nagsasangkot - hindi sinasadya o iligal - ang pagkasira, pagkawala, pagbabago, hindi awtorisadong pagsisiwalat o pag-access sa personal na data na nailipat, naimbak o kung hindi man naproseso.
Tulad ng nakikita mo, ang isang paglabag sa data ay maaaring humantong sa pagkawala ng data na hindi nagmula sa isang pag-atake ng hacker, ngunit maaari rin itong makuha mula sa pagkawala ng pagkakaroon ng pareho, tulad ng nangyayari sa teorya kung saan mayroong, para sa halimbawa, pagnanakaw ng isang aparato.
Kapag nangyari ang paglabag sa data
Ang mga uri ng paglabag sa data ay magkakaiba-iba at samakatuwid, sa pamamagitan ng halimbawa, maaari naming ipahiwatig ang pag-access o pagkuha ng data ng hindi pinahintulutang mga third party, ang pagnanakaw o pagkawala ng mga aparatong IT na naglalaman ng personal na data na nahuhulog sa loob ng kaso. ang data dahil sa hindi sinasadyang mga sanhi o panlabas na pag-atake, mga virus, malware, atbp., ang sadyang pagbabago ng personal na data, pagkawala o pagkasira ng personal na data dahil sa mga aksidente, masamang pangyayari, sunog o iba pang mga sakuna, ang hindi awtorisadong pagsisiwalat ng personal na data.
Kung saan maaaring mangyari ang isang paglabag sa data
Ang isang paglabag sa data, naunawaan, tulad ng nabanggit, bilang isang paglabag na nakakaapekto sa pagkakaroon, integridad at pagiging kompidensiyal ng data, ay maaaring mag-alala sa anumang lugar, kapwa pisikal at digital.
Halimbawa, isipin ang pagkawasak ng isang archive ng papel, o pagnanakaw ng mga dokumento o, muli, ang kanilang pakialaman at pagbabago.
Ang mga paksa na apektado ng isang paglabag sa data
Ang isang paglabag sa data ay kumakatawan sa isang kaganapan na, depende sa mga tukoy na katangian ng indibidwal na kaso, ay maaaring kasangkot sa iba't ibang mga paksa.
Ang data controller ay ang tao na, alinsunod sa sining. Ang 33 GDPR, ay dapat na buhayin nang walang labis na pagkaantala at, kung posible, sa loob ng 72 oras mula sa sandaling ito ay nalaman, upang ipaalam ang paglabag sa Garantiyang para sa proteksyon ng personal na data, maliban sa teorya na kung saan malamang na hindi ang paglabag sa personal na data ay nagsasama ng isang panganib para sa mga karapatan at kalayaan ng mga indibidwal. Sa kabaligtaran, kung ang paglabag ay nagpapakita ng mataas na peligro para sa mga karapatan at kalayaan ng mga likas na tao, ang may-ari, na palaging walang pagkaantala, ay dapat ding ipaalam sa mga interesadong partido. Sa kaganapan na ang isang Data Processor ay itinalaga nang magkaroon siya ng kamalayan sa isang paglabag, kinakailangan niyang ipaalam kaagad sa may-ari upang makagawa siya ng pagkilos.
Ang mga sanhi ng isang paglabag sa data
Tulad ng nabanggit, ang paglabag sa data ay isang paglabag sa seguridad na nagsasangkot - hindi sinasadya o iligal - ang pagkasira, pagkawala, pagbabago, hindi awtorisadong pagsisiwalat o pag-access sa naproseso na data at nangangahulugan ito, sa pagsasagawa, na ang mga hakbang sa seguridad na kinuha ay hindi gumana. Gayunpaman, hindi kami dapat mahulog sa error ng awtomatikong pag-uugnay ng paglabag sa data sa pagiging sapat ng mga panukalang-batas na pinagtibay upang gawin itong makuha at gawing mas payak isang (layunin) na responsibilidad ng data controller. Ang tanong ay mas kumplikado, na ibinigay na ang GDPR ay hindi nagbibigay ng isang pananagutan ng ganitong uri sa bahagi ng may-ari, ngunit nagbibigay para sa posibilidad para sa parehong upang ipakita na nagawa niya ang lahat sa kanyang kapangyarihan upang protektahan ang naproseso na data .
Ang kadahilanan ng tao at ang kahalagahan ng pagsasanay
Kung sa isang banda ang kaganapan sa paglabag sa data ay hindi maaaring ganap na matanggal, tulad ng, asahan, walang peligro na umiiral, sa kabilang banda kinakailangan na tanungin ang sarili tungkol sa mga diskarte at hakbang na gagamitin upang malimitahan ang peligro maaari.
Higit pa sa "sapat" na mga hakbangin sa teknikal at pang-organisasyon, kaya sa terminolohiya ng Regulasyon ng Europa, isang mahalagang bahagi ng pag-iwas ay kinakatawan ng pagsasanay ng mga tauhan.
Sa ngayon, ang kadahilanan ng tao ay kumakatawan pa rin sa isang malawak na takong ni Achilles sa maraming mga katotohanan, kahit na nakabalangkas at malalaki.
Ang kakulangan ng sapat at tiyak na pagsasanay, ang kawalan ng sapat na mga patakaran sa paggamit ng mga tool at pamamaraan ng IT, ay ngayon pa rin malawak na sanhi ng mga paglabag sa data.
Ang kabuluhan ng bagay ay kinakatawan hindi lamang ng uri ng proteksyon na pinagtibay, kundi pati na rin ng mga pamamaraan ng aplikasyon ng pareho, sa pamamagitan ng pag-update at tiyak na pagsasanay na ibinigay sa mga paksang nagpoproseso ng data.
Sa katunayan, hindi dapat kalimutan na ang pagsunod ay dapat maganap sa maraming mga antas, dapat na transversal at hindi lamang mag-alala sa teknikal na bahagi at cybersecurity, ngunit pati na rin ang pang-organisasyon at pamamaraan na aspeto hinggil sa tinatawag na factor ng tao.