Minulý týždeň bol pre vás a vaše osobné informácie dôležitý, či už žijete v EÚ alebo nie.
GDPR, všeobecné nariadenie o ochrane údajov, ktoré stanovuje usmernenia o tom, ako sa zhromažďujú a spracúvajú osobné údaje občanov EÚ, je teraz oficiálne. Je to skvelý nápad - jednotné pravidlá o tom, ako sa zhromažďujú vaše informácie, ako sa uchovávajú a ako si ich môžete vziať späť, sú už dávno oneskorené. O GDPR sa viedlo (a bude aj naďalej) veľa diskusií o tom, čo je dobré, zlé a škaredé, ale väčšina ľudí, ktorí pracujú v oblasti informačnej bezpečnosti, súhlasí s tým, že ciele sú dobre mienené a poskytnú druh ochrany, ktorú všetci potrebujeme 21. storočie.
Mnoho populárnych webových stránok jednoducho nie je dostupných pre európskych návštevníkov, pretože nie sú v súlade s normami GDPR.
Jednotlivé články GDPR však nie sú tak všeobecne oceňované. Po vstupe do platnosti v piatok 25. mája už vidíme spad: New York Daily News, Chicago Tribune, LA Times a ďalšie vysokoprofilové webové stránky nie sú teraz k dispozícii v krajinách, na ktoré sa vzťahujú nariadenia GDPR, pretože neboli pripravené na nové pravidlá., Mnoho ďalších webových stránok a online služieb bombardovalo používateľov novými podmienkami, s ktorými súhlasia, a už boli podané sťažnosti proti pozoruhodným technickým gigantom Google a Facebook, pretože neposkytujú bezplatné služby bez toho, aby umožnili používateľom odstúpiť od zhromažďovania údajov.
Viac: Google uľahčuje pochopenie a správu používateľských údajov, ktoré zhromažďuje {.cta.large}
Problémy, ako sú tieto, nie sú prekvapujúce. Ani sentiment, že cloudové služby stratia príjmy a budú nútené zvyšovať ceny v dôsledku GDPR, o ktorom si polovica účastníkov Infosecurity Europe 2018 myslí, že sa čoskoro stane. Taktiež majú pocit, že GDPR potláča inovácie, pretože malé organizácie si nebudú môcť dovoliť potrebnú infraštruktúru, ktorá bude v súlade. Toto je dobrá diskusia ľudí, ktorí o nej musia diskutovať. Lepšie súkromie stojí za to, aby sa to napravilo.
Ale je tu jedna časť GDPR, ktorá si myslím, že spôsobí viac škody ako úžitku - 72-hodinové pravidlo vykazovania podľa článku 33. Celý text si môžete prečítať tu, podstatou je však to, že spoločnosť, ktorá uchováva osobnú identifikáciu občanov EÚ, je plne zodpovedná za akékoľvek porušenie bezpečnosti, bez ohľadu na dôvod, a musí poskytnúť úplné informácie dozornému výboru do 72 hodín. porušenia. O tomto pravidle nie je nič veľké, ale dve časti povedú k tomu, že poskytovatelia služieb zakrývajú porušenia údajov skôr než ich zodpovedne nahlásia.
Prvým je dozorný výbor. Rôzne krajiny majú rôzne spôsoby riadenia svojich občanov, ale jedna vec, ktorú majú všetci spoločné, je preferenčné zaobchádzanie, pokiaľ ide o vytvorenie a obsadenie oficiálneho výboru. Priateľom kamaráta alebo toho tretieho bratranca, ktorý nemôže prestať žiadať leták, sú hlavnými kandidátmi na ktorékoľvek miesto vo výbore, a ak je primárnym cieľom ochrana údajov používateľa, mali by sa zohľadniť len najkvalifikovanejší jednotlivci. Dúfajme, že to je presne to, čo sa tu deje, a predpisy môžu prispôsobiť a presadzovať ľudia, ktorí majú na srdci naše najlepšie záujmy a sú kvalifikovaní.
Malé spoločnosti, ktoré nemajú zdroje potrebné na úplné vyšetrovanie porušenia, sa môžu rozhodnúť ich kryť.
Veľkým problémom je vynútené 72-hodinové spravodajstvo. Dokonca ani plne vybavená organizácia Fortune 500 nebude vedieť o porušení údajov dosť na to, aby mohla začať podávať správy u vládnej agentúry. Vzhľadom na tak krátku dobu očakávajte niečo viac ako úradník pre informačnú bezpečnosť spoločnosti, ktorý uviedol, že došlo k porušeniu pravidiel, a zatiaľ si nie sme istí podrobnosťami. To je trochu viac ako strata času pre všetkých zúčastnených a radšej by som strávil čas skúmaním príčin, ako, kedy a kto narušil akýkoľvek typ údajov.
Menšia spoločnosť, ktorá už možno zápasí s dodržiavaním pravidiel GDPR, bude v pokušení prešetriť, či môže porušenie obmedziť a zmierniť škody sama osebe bez akýchkoľvek správ. Ak ste pod tlakom a máte nedostatočné pracovné sily, zakrytie môže znieť ako správna voľba.
Je zrejmé, že to nikdy nie je. Ale spoločnosti, ktoré sú veľké a malé, sú známe tým, že si vyberajú zlú alternatívu znovu a znovu, keď ide o drôt. Akákoľvek regulácia určená na ochranu používateľov pred spoločnosťami, ktoré prijímajú zlé rozhodnutia, je lepšia bez pravidla, ktoré by ich k tomu mohlo prinútiť.
Je nevyhnutné zodpovedné a rýchle nahlásenie dátovej lúpeže. Nútiť spoločnosti, ktoré zbierajú a uchovávajú naše údaje, aby robili správnu vec, bez toho by sa veľmi nepoužilo. Vytvorenie výboru pre správny dohľad, ktorý by obsahoval tých správnych ľudí, ktorí by mohli revidovať, ako sa zaobchádza so zlomami, alebo dokonca ponúknuť pomoc, keď k nim dôjde, by viedlo k tomu, že HDPR bude vzorom pre zvyšok sveta, ktorý bude nasledovať.
