התמ"ג מגיע, חקיקה הפרטיות החדשה: מה ישתנה ומה ההשפעה תהיה על הבטיחות של יחידים

(של אנדריאה פוליגדה)
26/01/18

25 במאי 2018 יהיה ישים ישירות בכל מדינות האיחוד האירופי תקנה חדשה של האיחוד האירופי 2016 / 679. זוהי נקודת מפנה היסטורית אמיתית במונחים של הגנה על נתונים אישיים, שמטרתה להבטיח ביטחון רב יותר לזכויות ולחירויות של יחידים. מחכים לראות את הפירות האמיתיים, יוצגו כמה "גלולות" שממנו לצייר השראה עבור השתקפויות נוספות על יחסי הגומלין בין הגנה על נתונים אישיים וביטחון.

תקנה זו, כאמור, תנהיג כללים וחובות שונים, המופנים הן למגזר הציבורי והן למגזר הפרטי. בנוסף לבהירות ופשטות רבה יותר של מידע והסכמה, ניסיון התקנה (הנקרא אחרת תוצר, ומרגולצית הנתונים הכללית) יהיה להבטיח הגנה רבה יותר לכל אזרחי האיחוד, אם כי ניתן יהיה לכל מדינה להסתגל באופן עצמאי לתוכן התקנה. היתרון של חקיקה חדשה זו הוא לצאת יחד עם מכשיר אחר, מה שנקרא הוראת PNR (מס '680/2016) על הרשויות המוסמכות לצורכי מניעה, חקירה, גילוי והעמדה לדין של פשעים או ביצוע סנקציות פליליות, שמטרתן לקדם הפצת נתונים אישיים בין רשויות הביטחון. שוב המוסד שמונה לביצוע משימה זו יהיה ערבות הפרטיות, שהופכת לרשות הפיקוח הלאומית האמיתית. במובן זה, הפרוטוקול האחרון שנחתם בין הרשות ל- DIS במסגרת ביטחון רב יותר לרפובליקה אינו צפוי (v.link). עכשיו בואו לראות יחד נקודות 5 מפתח של החקיקה החדשה, אשר בהחלט ישפיע - עם הצורך להקלות ואת המוזרויות - גם עבור מערכת הביטחון:

1) הציג את הרעיון של "אחריות" של הבעלים (דין וחשבון)

עם התוצר המקומי הגולמי נדרש מבקר הנתונים (האדם הטבעי או המשפטי, אשר לבד או ביחד עם אחרים קובע את המטרות ואת הכלים לעיבוד נתונים אישיים) כדי לנקוט צעד לקראת אחריות רבה יותר כלפי נושאי הנתונים (הנושאים ל שאליו מתייחסים הנתונים האישיים המעובדים). בפרט, היא החובה של בעל לתעד שלו בכל בחירה, פעיל או השמטה ביחס לפעילות העיבוד כלולה בהחלטות ההיגיון הזה לגבי אבטחת מידע, שימור, הגנה על זכויותיהם של בעלי העניין וניתוח של הסיכונים לזכויות ולחירויות של הפרט, על מנת ליצור מנגנון תגמול כלפי בעלי המידות הטובות בסוגיות אלה ולהעניש במידה רבה יותר של אחריות את בעלי הרשלנות ביותר.

2) חובת דיווח לרשות במקרה של הפרה של נתונים אישיים (הפרת נתונים)

ה- GDPR מציג את החובה לתקשר נתונים אישיים הפרות לכל עיבוד נתונים בקרים נתונים אישיים. גם גופים ציבוריים, בנוסף לחברות, חייבים מיד להודיע ​​על ערבות של כל הפרה של הנתונים האישיים של הצדדים הנוגעים בדבר. שים לב כי עבור "הפרה נתונים אישי", תקנות פירושו פרה של ביטחון שמוביל להרס המקרי או לא חוקי, אובדן, שינוי וגילוי או גישה לא מורשה נתונים אישיים המועברים, מאוחסן או אחר מטופלים. למותר לציין כי אפילו הגישה וההצגה בלבד תואמות את הפער בנתונים, ואילו לפעולות עם פחות השפעה - כגון סריקת יציאה - אין סימנים ספציפיים עד כה. בין המרשמים שנקבעו באמנות. 34 GDPR, תקן ההפניה על הפרת נתונים, המהווה תקופת הודעה על 72h מרגע המחזיק הופך מודע ההפרה, שבתוכה הם חייבים להיות מועברים להפרה ספציפית של הרשות: במקרים חמורים , מחויבות זו תוארך גם למעורבים בעיבוד.

3) הגנות ספציפיות לנתונים האישיים של אלו שנפגעו מטיפולים המבוססים על החלטות אוטומטיות

עם התקנה החדשה, על הצד המעוניין להיות בעל הזכות שלא להיות נתון להחלטה העשויה לכלול אמצעי המעריך היבטים אישיים הקשורים אליו, המבוסס אך ורק על עיבוד אוטומטי ומייצר השפעות משפטיות המשפיעות עליו או דרך מקבילה על האדם שלו. טיפול זה כולל "פרופילינג", המורכב מצורה של עיבוד אוטומטי של נתונים אישיים המעריך היבטים אישיים הנוגעים לאדם טבעי, במיוחד במטרה לנתח או לחזות היבטים הנוגעים לביצועים מקצועיים, מצב כלכלי, בריאות, העדפות או אינטרסים אישיים, אמינות או התנהגות, מיקום או תנועות של הצד המעוניין, כאשר הדבר מייצר השפעות משפטיות הנוגעות אליו או משפיעות באופן משמעותי על גופו. עם זאת, יש לאפשר החלטות על בסיס עיבוד שכזה, לרבות פרופיל, אם הדבר נקבע במפורש על ידי חוק האיחוד או של המדינות החברות עליהן נתון מנהל הנתונים, לרבות למטרות מעקב ומניעת הונאה. והעלמת מס על פי התקנות, התקנים וההמלצות של מוסדות האיחוד או גופי הפיקוח הלאומיים וכדי להבטיח את בטיחותו ואמינותו של שירות הניתן על ידי מנהל הנתונים, או אם הדבר נחוץ למסקנה או ביצוע חוזה בין נושא הנתונים לבעל נתונים, או אם הנבדק נתן את הסכמתו המפורשת. בכל מקרה, על עיבוד כזה להיות כפוף להבטחות נאותות, אשר צריכות לכלול מידע ספציפי לנבדק והזכות לקבל התערבות אנושית, להביע את דעתם, לקבל הסבר על ההחלטה שהושגה לאחר הערכה כזו ול לערער על ההחלטה. אמצעי זה לא אמור לעסוק בקטין. שים לב שהנחה זו תהיה תקפה ומעל לכל בהתייחס להחלטות האפשריות ש- AI (בינה מלאכותית) יכול לקחת כדי להעריך - למשל - את בטיחותו של מקום או את הסכנה של אדם (אנו יודעים שכיום, אלגוריתמים כגון זה נועד למניעת פשע - תקליטור טרום פשע - הם המציאות).

4) חובת ביצוע הערכת השפעה על ההגנה על נתונים אישיים (DPIA)

זה צפוי באמנות. 35 של תקנה החובה של הבעלים או המנהלים לבצע הערכת השפעה על הגנה על נתונים אישיים, שנקרא "DPIA" (Data Protection Impact Assessment), שמטרתו מיפוי הסיכונים פוטנציאליים - רוויזואלי לטיפול - עבור הזכויות והחירויות של הנוגעים בדבר. DPIA הוא הליך מורכב במיוחד, עם מפרטים טכניים מחמירים ביותר. יש להשלים אותו כאשר סוג של טיפול, שבו הוא צופה במיוחד את השימוש בטכנולוגיות חדשות, בהתחשב באופי, האובייקט, ההקשר ומטרות הטיפול, עשוי להציג סיכון גבוה לזכויות ולחופש של אנשים טבעיים . הערכה בודדת יכולה גם לבחון סדרה של טיפולים דומים שמציבים סיכונים דומים. ישנם מספר מקרים של DPIA חובה, כל ארבעת המשפיעים במונחים של הגנה על בטיחות הציבור:

(א) כאשר מבוצעת הערכה שיטתית ומקיפה של היבטים אישיים הנוגעים לאנשים טבעיים, המבוססים על עיבוד אוטומטי, לרבות אפיון, ועל החלטותיהם בעלות השפעות משפטיות או המשפיעות באופן משמעותי על אנשים אלה;

(ב) כאשר העיבוד, בקנה מידה גדול, של קטגוריות מסוימות של נתונים אישיים (למשל על בריאות, דעות פוליטיות, הרשעות דתיות וכו ') או נתונים משפטיים

(ג) כאשר מתבצע מעקב שיטתי נרחב של אזור נגיש לציבור.

5) הציג באופן רשמי את הדמות החדשה של קצין הגנת הנתונים (DPO)

לבסוף, התקנה מציגה את הדמות החדשה של ה- DPO, קצין הגנת הנתונים. זה לכל דבר ועניין איש אחראי על הגנת נתונים (מתורגם גם לאיטלקית) אשר בין משימותיו צריך להבטיח את הנכונות - מבחינת הפרטיות - אבטחת נתונים מתמדת ומעודכנת ועמידה ב ישות / חברה ל- GDPR.

שים לב, עבור גופים ציבוריים, נתון זה הוא חובה חייב להיות מסוגל לדווח ישירות לפסגת הניהול.

(צילום: ארה"ב DoD)