Прошла недеља је била важна за вас и ваше личне податке, без обзира да ли живите у ЕУ или не.
ГДПР, Општа уредба о заштити података која поставља смернице о томе како се лични подаци грађана ЕУ-а прикупљају и обрађују, сада је званичан. Одлична идеја - уједначена правила о начину на који се прикупљају ваше информације, како се чувају и како можете да их вратите назад су предуго касњена. Било је (и даље ће бити) доста дискусија о томе шта је добро, лоше и ружно у вези са ГДПР-ом, али већина људи који раде на информатичкој сигурности слаже се да су циљеви добронамерни и да ће пружити врсту заштите која нам је свима потребна. 21. век.
Гомила популарних веб локација једноставно није доступна европским посетиоцима јер нисте усаглашени са ГДПР-ом.
Појединачни чланци ГДПР-а, међутим, нису тако универзално хваљени. Ступајући на снагу у петак, 25. маја, већ се дешавају проблеми: Нев Иорк Даили Невс, Цхицаго Трибуне, ЛА Тимес и друге веб странице високог профила сада су недоступне у земљама обухваћеним ГДПР уредбама, јер нису биле спремне за нова правила. Многе друге веб странице и мрежне услуге бомбардовале су кориснике новим условима на које пристају, а жалбе су већ поднете против угледних технолошких великана Гоогле и Фацебоок, јер не нуде бесплатне услуге без омогућавања корисницима да се одустану од прикупљања података.
Више: Гоогле олакшава разумевање и управљање корисничким подацима које прикупља {.цта.ларге}
Питања попут ових не изненађују. Нити је мишљење да ће услуге засноване на облаку изгубити приход и бити приморане да подижу цијене као резултат ГДПР-а, за који половина полазника Инфосецурити Еуропе 2018 мисли да ће се ускоро догодити. Такође сматрају да ће ГДПР угушити иновацију јер мале организације неће моћи да приуште потребну инфраструктуру да би биле сагласне. Ово је добра дискусија људи који треба да разговарају о томе. Боља приватност је вредна више сати уназад како би се исправио.
Али постоји један део ГДПР-а за који мислим да ће нанети више штете него користи - члан 33 правила 72-часовног извештавања. Комплетан текст можете прочитати овде, али суштина је у томе што је компанија која чува личну идентификацију грађана ЕУ у потпуности одговорна за свако кршење безбедности, без обзира на разлог, и мора у року од 72 сата да надзорном одбору пружи потпуну објаву. прекршаја. У овом правилу нема ништа сјајно, али два дела ће довести до даваоца услуга који прикривају кршење података уместо да их одговорно пријављују.
Први је надзорни одбор. Различите земље имају различите начине управљања својим грађанима, али једно што имају заједничко је преференцијални третман када је у питању стварање и особље било којег званичног одбора. Пријатељ пријатеља или онај трећи рођак који не може престати да тражи достављање материјала главни су кандидати за било које место у комитету, а када је основни циљ заштита података корисника, треба узети у обзир само најквалификованије појединце. Надајмо се да управо то што овде раде и прописе могу прилагодити и спровести људи који су нам у најбољем интересу и који су квалификовани.
Мале компаније без ресурса неопходних за спровођење потпуне истраге кршења права могу да одлуче да их прикрију.
Веће питање је присилно извештавање од 72 сата. Чак ни потпуно ангажована организација Фортуне 500 неће знати довољно о кршењу података да би почела са подношењем извештаја владиној агенцији. С обзиром на тако кратко време, очекујте мало више од службеника за информациону сигурност компаније који каже да је дошло до кршења правила и још нисмо сигурни у детаље. То је мало више од губитка времена за све који су укључени, а радије бих да то време проведем покушавајући да откријем зашто, како, када и ко окружује било какву врсту кршења података.
Мања компанија која се можда бори да испуни захтјеве ГДПР-а наћи ће се у искушењу да ли може садржати кршење и сама ублажити штету без икаквих извјештаја. Када сте под притиском и нема довољно особља, заташкавање може звучати као права опција.
Јасно је да никад није. Али познато је да су велике и мале компаније одабрале погрешну опцију увек изнова када је реч о жици. Сваки пропис који је конципиран да заштити кориснике од компанија које доносе лоше одлуке је бољи без правила које их може нагнати да учине управо то.
Одговорно и брзо извештавање о писти података је обавезно. Присиљавање компанија које беру и чувају наше податке да раде исправне ствари није од велике користи без тога. Стварање правог надзорног одбора испуњеног правим људима који ће ревидирати како се провале поступају - или чак нудити помоћ када се догоде - требало би доста да направе ГДПР предложак за остатак света.
