Küsimus:
GDPR-i järgimine - teatis andmete rikkumisest
Simon
2019-08-02 00:06:53 UTC
view on stackexchange narkive permalink

Art. 33, täpsustab GDPR, et vastutav töötleja peab isikuandmete rikkumisest teatama järelevalveasutusele pärast sellest teada saamist .

1. juhtum: majutatakse isikuandmetega andmebaasi väljavõtet teatud aja jooksul Internetis juurdepääsetavas serveris. Faili saab ilma autentimiseta alla laadida kõigilt, kes teavad URL-i.
Kontrolleril pole tõendeid selle kohta, et keegi oleks faili alla laadinud, kuna faili majutav veebiserver ei pea logisid ega ka kõiki logisid kogu selle aja jooksul, mil see fail oli allalaadimiseks saadaval olevad serveris hoitakse, kuna neid pööratakse automaatselt.

Kas vastutav töötleja peab sel juhul järelevalveasutust teavitama? Isegi kui rikkumise kohta pole tõendeid?

2. juhtum: öeldakse, et Internetist saadaval olev veebirakendus annab mõnele kasutajale juurdepääsu tundlikele isikuandmetele. See on selle veebirakenduse peamine kasutamisjuhtum. Veebisait kasutab edastatavate andmete krüptimiseks https-i. Mõne veebiserveri konfiguratsioonivea korral keelatakse https ja kogu liiklus sellele veebisaidile on teatud aja vältel selge.

Kas kontroller peab sel teisel juhul järelevalveasutust teavitama? Isegi kui rikkumise kohta pole tõendeid, sest keskel rünnakus meest ei tuvastatud?

üks vastus:
amon
2019-08-02 02:01:48 UTC
view on stackexchange narkive permalink

GDPR annab kontrolleritele palju laiust. Nad peavad otsustama õige tegutsemisviisi, võttes arvesse andmesubjektidele võimalikke riske. Täpsemalt öeldes pole ametiasutusest vaja teada anda, kui „isikuandmete rikkumine ei ohusta tõenäoliselt füüsiliste isikute õigusi ja vabadusi.”

Oma 1. stsenaariumi korral soovitate, et rikkumine, kuna puuduvad tõendid selle kohta, et andmetele pääsesid valesti juurde.

See analüüs on vigane: vastutav töötleja on teadlik, et andmed ei olnud nõuetekohaselt turvatud, ega välista, et andmetele pääsesid valesti juurde. Ma väidan, et see sobib kirjeldusega “turvalisuse rikkumine, mis viib… isikuandmete juhusliku või ebaseadusliku… loata avaldamiseni” (võrrelge andmeõiguse rikkumise määratlust artikli 4 lõikes 12). Seega on juhtunud andmerikkumine.

Küsimus, kas järelevalveasutust tuleb rikkumisest teavitada, on vaieldavam. Vastutav töötleja peab andmesubjektidele hindama riskide tõenäosust. Siinkohal võivad nad ehk väita, et avalikustamise oht on väike. Siiski oleks asjakohane ka rikutud andmete laad.

Kahtluste korral peaks vastutav töötleja teate edastama. GDPR-i eesmärk pole karistada ebaõnnestunud ettevõtteid, kes kannatavad rikkumise all, vaid kaitsta isikuandmeid. Seega on vigade parandamine ja koostöö järelevalveasutustega tõenäoliselt enamiku ettevõtete jaoks parim lähenemisviis.

Teise stsenaariumi korral on andmed tundlikud - nende avaldamine on andmesubjektide jaoks suur risk. Kuid oht, et keegi neid andmeid vahele võtab, on vaieldav. Kas pealtkuulamise risk tasakaalustab andmete tundlikkust? See on vastutava töötleja kõne, aga ma ei arva. Tundub, et siin oleks asjakohane teatis.

Tehnilise tähelepanekuna ei piisa MitM-i rünnakute vältimiseks lihtsalt HTTPS-i pakkumisest - kasutajad peavad olema sunnitud krüptitud ühendusi kasutama. Kui vastutav töötleja peab MitMi riskiks, peavad nad vastavalt artiklile 24 võtma asjakohaseid tehnilisi meetmeid. Siin takistaks HSTS ja HSTS eellaadimine ühenduste alandamist HTTP-le. Ebaturvaliste ühenduste pakkumise asemel muutuks see sait ligipääsmatuks. Täiendavaks strateegiaks on sisu mitte HTTP kaudu edastamine, vaid see, et HTTP-server väljastaks püsiva ümbersuunamise HTTPS-i URL-ile.

FWIW, võite teisel juhul eeldada, et krüptimata andmed on kogunud suuremad rahvusriigi osalejad.


See küsimus ja vastus tõlgiti automaatselt inglise keelest.Algne sisu on saadaval stackexchange-is, mida täname cc by-sa 4.0-litsentsi eest, mille all seda levitatakse.
Loading...