Как меры безопасности в ВВП могут изменить наш подход к рискам, связанным с персональными данными

(Ди Андреа Пулихедду)
18/03/18

Как указано в предыдущей статье (больше) грядет новое европейское законодательство о защите персональных данных, и благодаря ему будет внедрена вся действующая в европейских странах система конфиденциальности. Хотя в течение некоторого времени в настоящее время осуществляются более или менее авторитетные вмешательства в отношении интерпретации, предоставляемой некоторым инновациям (Регистр лечения, Оценка воздействия на защиту персональных данных, Сотрудник по защите данных и т. д.) Органы обнаружены сегодня - по большей части - совершенно не готовы даже к базовому документальному и организационному соответствию, которое уже действует - в соответствии с Кодексом конфиденциальности - уже двадцать лет. Об этом свидетельствуют результаты исследования, проведенного SenzingКалифорнийская компьютерная компания под названием "Нахождение недостающего звена в соблюдении GDPR«Что в выборке, включенной в список тысяч компаний, половина (43%) компаний в Италии заявляют о себе»встревоженный«В то время как некоторые другие демонстрируют простую, но тревожную нехватку знаний об обязательствах и санкциях, вытекающих из несоблюдения GDPR. Какой профиль среди многих является наиболее критическим и недооцененным в этих обстоятельствах? Конечно, ответ прост: это вопрос безопасности обрабатываемых персональных данных.

Недостаточно читать хронические новости о нарушениях в критически важных общественных и пара-общественных инфраструктурах (телефония, больницы, транспорт, энергетика и т. Д.), Чтобы подтвердить наличие существующего риска. Национальная предпринимательская структура рискует вновь рассредоточить ценность, создаваемую персональными данными, которые обрабатываются только и исключительно из-за отсутствия осведомленности и отсутствия ответственности. Чтобы проиграть, не разрабатывая технологические апокалипсисы, они в конечном итоге рискуют стать заинтересованными сторонами (людьми, к которым относятся личные данные), которые, столкнувшись с отсутствием безопасности, могут стать неосознаваемым объектом сжатия своих прав и свобод. В этом смысле, в отношении аспекта безопасности, GDPR (это означает Положение о защите данных Общие) предлагает к ст. 32 - полная смена менталитета, настоящая переключатель культурный. Указано, что: Принимая во внимание современное состояние и затраты на реализацию, а также характер, объект, контекст и цель обработки, а также риск различных вероятностей и серьезности для прав и свобод физических лиц, владельца лечения и контролера принять адекватные технические и организационные меры, чтобы гарантировать адекватный уровень безопасности для риска, которые включают, среди прочего, в случае необходимости:

а) псевдонификация и шифрование персональных данных;

б) способность обеспечивать конфиденциальность, целостность, доступность и отказоустойчивость систем обработки и услуг на постоянной основе;

c) возможность оперативно восстановить доступность и доступность персональных данных в случае физического или технического инцидента;

d) процедура тестирования, проверки и регулярной оценки эффективности технических и организационных мер, чтобы гарантировать безопасность обработки.

Затем в Положении определяется подход к безопасности как реальный момент владения собственником (в соответствии с принципом подотчетности в соответствии со статьей 25) и намеревается дать реальную губку упрощенному методу, неоднократно принятому компаниями (также имеющих определенное стратегическое значение), что в отношении предотвращения рисков относятся к простой стандартной проверке или только к минимальным мерам, присутствующим во ВСЕХ. B законодательного декрета n. 196 / 2003, предыдущий код конфиденциальности.

С этим актом, ГДПР, безусловно, не намерен сообщать, что меры безопасности, определенные до сих пор законодательными и парарегулирующими актами (такими, как санкционированные Руководством AGID для государственных администраций), должны исчезнуть: напротив, цель Регламента это для того, чтобы побудить Держателя, который считает себя полезным в соответствии с механизмом, продиктованным принципом ответственности, упомянутым выше. В этом смысле Регламент предлагает четыре критерия, которые должны быть взяты в качестве примера и приняты только в случае необходимости. В частности, предлагается рассмотреть вопрос о применении методов псевдонима в отношении обрабатываемых персональных данных (процесс, который гарантирует, что данные хранятся в формате, который напрямую не идентифицирует конкретного человека без использования дополнительной информации), чтобы обеспечить постоянная конфиденциальность, целостность, доступность и отказоустойчивость систем и служб обработки, внедрение систем аварийного восстановления и выдвижение гипотез о процедурах периодических испытаний для проверки эффективности принятых мер безопасности. Таким образом, GDPR привлекает реальный процесс безопасности, способный гарантировать разумное фокус безопасности ответственность за владельца. Более того, правило продолжает указывать, что «При оценке надлежащего уровня безопасности особое внимание уделяется рискам, связанным с обработкой, которые связаны, в частности, с уничтожением, потерей, модификацией, несанкционированным раскрытием или доступом, случайным или незаконным образом, к личные данные передаются, хранятся или иным образом обрабатываются. Приверженность утвержденному кодексу поведения, указанному в статье 40, или утвержденному механизму сертификации, указанному в статье 42, может использоваться в качестве элемента для демонстрации соответствия требованиям, указанным в пункте 1 настоящей статьи ».

Поэтому необходимы оценки конкретных рисков, основанные на синергии с другими положениями GDPR, такими как нарушение данных, кодексы поведения, незаконная обработка персональных данных и механизмы сертификации. Наконец, указывается ширина передней границы, хотя можно предположить: «Контроллер данных и контролер должны обеспечить, чтобы кто-либо, действующий под их руководством и имеющий доступ к личным данным, не обрабатывал такие данные, если это не предписано контроллером данных, если это не требуется законодательством ЕС или Государства-члены ». Il неожиданное спасение всего цикла, естественно, является владельцем, и в этом смысле, в ожидании новых событий, продиктованных методами и интерпретациями, которые следуют друг за другом, этот прогноз еще раз согласуется с принципом подотчетности и направлен на предотвращение того, чтобы часть цепочки поставок была уязвимы в области безопасности.

Осталось много открытых вопросов: каковы надлежащие меры безопасности? Какие стандарты необходимо выполнять каждому держателю для обеспечения соблюдения в секторе безопасности? Какие лучшие практики?

За несколько дней до применения Правил они остаются открытыми вопросами, которые ставят под вопрос как стратегические секторы для производительности страны, так и МСП.

оборона рейнметалла