25 May 2018 будет непосредственно применяться во всех странах ЕС в новом правиле ЕС 2016 / 679. Это реальный исторический поворотный момент в плане защиты персональных данных, направленный на обеспечение большей безопасности для прав и свобод людей. В ожидании увидеть настоящие плоды будут представлены некоторые «таблетки», из которых можно извлечь вдохновение для дальнейших размышлений о взаимоотношениях между защитой персональных данных и безопасностью.
Постановление, как уже упоминалось, будет вводить различные правила и обязательства, адресованные как государственному, так и частному секторам. В дополнение к большей ясности и простоте с точки зрения информации и согласия попытка Постановления (иначе называемая GDPR, Положение о защите данных Общие) будет обеспечивать большую защиту для всех граждан Союза, хотя каждое государство сможет самостоятельно адаптироваться к содержанию Регламента. Преимущество этого нового законодательства заключается в том, что он выходит вместе с другим документом, так называемой Директивой PNR (№ 680/2016) о компетентных органах в целях предотвращения, расследования, выявления и преследования преступлений или исполнения уголовных наказаний. обмен персональными данными между органами безопасности. И снова учреждение, назначенное для выполнения этой задачи, будет Гарантом конфиденциальности, который станет настоящим национальным надзорным органом. В этом смысле недавний протокол, подписанный между Властью и DIS в рамках большей безопасности для Республики, не является неожиданным (v.link). Теперь давайте посмотрим вместе ключевые моменты 5 нового законодательства, что, безусловно, повлияет - с необходимыми смягчающими и особенностями - также на Систему обороны:
1) Введено понятие «ответственности» владельца (подотчетность)
С GDPR требуется Контролер данных (физическое или юридическое лицо, которое самостоятельно или вместе с другими определяет цели и инструменты обработки персональных данных), чтобы сделать шаг к большей ответственности в отношении субъектов данных (субъекты к которым относятся обрабатываемые персональные данные). В частности, Контролер данных обязан документировать каждый выбор, активный или омывающий, в отношении обрабатывающих действий: в эту логику включены решения, касающиеся защиты данных, сохранения, защиты прав субъектов данных и анализа данных. риски для прав и свобод человека, с тем чтобы создать механизм вознаграждения по отношению к добродетельным держателям по этим вопросам и с большей ответственностью наказывать самых неосторожных владельцев.
2) Обязательство сообщать Органу в случае нарушения персональных данных (нарушение данных)
GDPR вводит обязательство сообщать о нарушениях персональных данных ко всем контроллерам персональных данных, обрабатывающих данные. Даже государственные органы, в дополнение к компаниям, должны незамедлительно уведомить Гаранта о любом нарушении личных данных заинтересованных сторон. Обратите внимание, что из-за «нарушения личных данных» в Регламенте подразумевается нарушение безопасности, которое включает случайное или незаконное уничтожение, утрату, модификацию, несанкционированное раскрытие или доступ к переданным, сохраненным или иным образом переданным персональным данным лечение. Само собой разумеется, что даже простой доступ и отображение мирно соответствуют прорыву данных, а для действий с меньшим воздействием - например, сканирование портов - пока нет конкретных указаний. Среди рецептов, предусмотренных в данной области. 34 GDPR, справочное правило о нарушении данных, включая период уведомления 72h с момента, когда Контролер узнает о нарушении, в рамках которого необходимо сообщить некоторые характеристики нарушения Органу: в наиболее серьезных случаях , это обязательство будет также распространено на тех, кто участвует в обработке.
3) Конкретные меры защиты персональных данных лиц, пострадавших от лечения на основе автоматизированных решений
В соответствии с новым Регламентом заинтересованная сторона должна иметь право не подвергаться решению, которое может включать меру, оценивающую личные аспекты, связанные с ним, которая основана исключительно на автоматизированной обработке и которая порождает правовые последствия, влияющие на нее или затрагивающие ее. аналогичный способ на его лице. Эта обработка включает в себя «профилирование», которое представляет собой форму автоматизированной обработки личных данных, которая оценивает личные аспекты физического лица, в частности, для анализа или прогнозирования аспектов, касающихся профессиональной деятельности, экономической ситуации, здоровья, предпочтения или личные интересы, надежность или поведение, местонахождение или передвижения заинтересованной стороны, если это порождает правовые последствия, которые беспокоят его или аналогичным образом существенно влияют на его личность. Однако решения на основе такой обработки, включая профилирование, должны быть разрешены, если это прямо предусмотрено законодательством Союза или государств-членов, которым подчиняется контролер данных, в том числе в целях мониторинга и предотвращения мошенничества. и уклонение от уплаты налогов в соответствии с положениями, стандартами и рекомендациями институтов Союза или национальных надзорных органов, а также для обеспечения безопасности и надежности услуги, предоставляемой контролером данных, или если это необходимо для заключения или выполнение договора между субъектом данных и контролером данных, или если субъект данных дал свое явное согласие. В любом случае такая обработка должна быть предметом адекватных гарантий, которые должны включать конкретную информацию для субъекта данных и право на вмешательство человека, на выражение своего мнения, на получение объяснения решения, принятого после такой оценки, и на право оспорить решение. Эта мера не должна касаться несовершеннолетних. Обратите внимание, что это предположение также, и прежде всего, будет справедливо в отношении возможных решений, которые ИИ (искусственный интеллект) может принять для оценки, например, безопасности места или опасности для человека (мы знаем, что сегодня такие алгоритмы, как это направлено на предотвращение преступности - cd Pre-Crime - это реальность).
4) Обязательство провести оценку воздействия на защиту персональных данных (DPIA)
Это предусмотрено в искусстве. 35 Регламента обязательство владельцев или менеджеров провести оценку воздействия на защиту персональных данных, так называемую «DPIA» (Оценка воздействия на данные), направленную на сопоставление потенциальных рисков - по сравнению с обработкой - для прав и свобод тех, кого это касается. DPIA - особенно сложная процедура с чрезвычайно строгими техническими характеристиками. Он должен быть завершен, когда тип лечения, когда он предусматривает, в частности, использование новых технологий с учетом характера, объекта, контекста и целей лечения, может представлять высокий риск для прав и свобод физических лиц , В одной оценке также может быть рассмотрен набор аналогичных методов лечения, которые представляют схожие высокие риски. Существует несколько случаев обязательной DPIA, все четыре из которых влияют на защиту общественной безопасности:
(a) когда проводится систематическая и всесторонняя оценка личных аспектов, относящихся к физическим лицам, на основе автоматизированной обработки, включая профилирование, и на основе которых принимаются решения, имеющие юридические последствия или существенно влияющие на таких лиц;
б) когда обработка в больших масштабах отдельных категорий персональных данных (например, по вопросам здоровья, политических убеждений, религиозных убеждений и т. д.) или судебных данных
(c) когда осуществляется широкомасштабное систематическое наблюдение за общедоступной областью.
5) Официально представил новую цифру сотрудника по защите данных (DPO)
Наконец, Регламент вводит новую фигуру DPO, сотрудника по защите данных. Во всех смыслах и целях это лицо, отвечающее за защиту данных (также переведенное на итальянский язык), которое среди своих задач должно обеспечить правильность - с точки зрения конфиденциальности - постоянную и обновляемую безопасность данных и соблюдение Организация / Компания к GDPR.
Обратите внимание, что для государственных органов этот показатель является обязательным и должен иметь возможность сообщать непосредственно на саммите управления.
(фото: США)
