Iiri õnn? Iirimaa andmekaitsekomisjon avaldab aastaaruande

As shared by the Commissioner for Data Protection, Helen Dixon, “The progress the DPC has made in 2020 provides a solid platform on which to build across our enforcement and complaint-handling functions in particular. The GDPR must be understood as a project for the now, but equally for the longer-term. The DPC intends to continue as a leader in its full implementation.”

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Toimetaja märkus: Andmekaitse Komisjon (DPC) on Iirimaa isikuandmete kaitse üldmääruse (GDPR) järelevalveasutus. Samuti on sellel ülesanded ja volitused, mis on seotud muude kriitiliste reguleerivate raamistikega, sealhulgas Iirimaa e-privaatsuse määrustega (2011) ja ELi direktiiviga, mida nimetatakse õiguskaitsedirektiiviks. Hiljuti avaldas andmekaitse volinik Helen Dixon Iiri andmekaitsekomisjoni 2020. aasta aastaaruande. Käesolevas hiljuti avaldatud aruandes (25. veebruar 2021) kirjeldab DPC Iirimaa oma ülesannete täitmisel lõpetatud ulatuslikku reguleerivat tööd ELi andmekaitse- ja e-privaatsust käsitlevate õigusaktide kohaldamise järelevalve ja reguleerimise rollis. Osana sellest töö üksikasjadest jagab DPC üksikasju DPC-le 2020. aasta jooksul tehtud rikkumisteatiste kohta. Kuna e-juurdluse ökosüsteemis tegutsevad andmed ja juriidilised spetsialistid püüavad mõista andmetega seotud rikkumistest tulenevat turumõju ja võimalusi, võivad nad kasu saada selles olulises aastaaruandes jagatud üksikasjadest ja andmepunktidest.

DPC Iirimaa 2020 aastaaruande*

Väljavõte rikkumiste kohta (3. peatükk)

DPC-le edastatud rikkumistest teadete arv jäi 2020. aastal suureks, kuid DPC on rohkem veendunud kui kunagi varem GDPR-i alusel teatamise kohustusliku nõude väärtuses. See võimaldab DPC-l saada ülevaateid organisatsioonides igal üksikjuhtumil eraldi tekkivatest isikuandmete turvalisuse ja töötlemisega seotud riskidest ning vajaduse korral sekkuda ja suunata nende riskide leevendamismeetmetest. Üldiselt julgustavad organisatsioonidelt saadud vastused DPC-d seisukohal, et enamik organisatsioone soovib DPC sisendit järgida ja väärtustada.

Rikkumised GDPR-i alusel

2020. aastal sai DPC isikuandmete kaitse üldmääruse artikli 33 alusel 6 783 andmetega seotud rikkumisest teateid, millest 110 juhtumit (2%) liigitati mitterikkumisteks, kuna need ei vastanud isikuandmetega seotud rikkumise määratlusele, nagu on sätestatud isikuandmete kaitse üldmääruse artikli 4 lõikes 12. DPC registreeris 2020. aastal kokku 6 6573 kehtivat andmekaitserikkumist, mis kujutas 2019. aastal teatatud arvude arvu suurenemist 10% (604).

Nagu muudel aastatel, liigitati GDPR-i alusel teatatud andmerikkumiste kõrgeim kategooria loata avalikustamistesse ja moodustasid 86% kogu 2020. aastal saadud andmetega seotud rikkumiste teatistest. Enamik rikkumisi, mis on seotud:

Erasektor: 4,097

Avalik sektor: 2,559

Vabatahtlik: 16

Heategevus: 1

Kokku: 6,673

DPC nägi ka sotsiaalse inseneri ja andmepüügi rünnakute kasutuse suurenemist, et pääseda juurde kontrollerite ja protsessorite IKT-süsteemidele. Kuigi paljud organisatsioonid rakendasid esialgu tõhusaid IKT turvameetmeid, on ilmne, et organisatsioonid ei võta ennetavaid meetmeid nende meetmete jälgimiseks ja läbivaatamiseks või töötajate koolitamiseks, et tagada nende teadlikkus arenevatest ohtudest. Sellistel juhtudel soovitame organisatsioonidel regulaarselt läbi vaadata oma IKT turvameetmeid ja rakendada töötajate jaoks terviklikku koolituskava, mida toetavad täienduskoolitused ja teadlikkuse programmid, et leevendada arenevast ohumaastikust tulenevaid riske.

Andmete rikkumise teatised kategooriate kaupa

Avalikustamine (loata): 5,837

Häkkimine: 146

Pahavara: 19

Andmepüük - sealhulgas sotsiaalne tehnika: 74

Väljapressimine/Teenuse keelamine: 32

Tarkvaraarenduse haavatavus: 5

Seade kadunud või varastatud (krüpteeritud): 19

Seade kadunud või varastatud (krüpteerimata) 29

Paber kadunud või varastatud: 275

E-jäätmed (olemasolevad isikuandmed või vananenud seade: 1

Paberi sobimatu kõrvaldamine: 21

Süsteemi vale konfiguratsioon: 40

Volitamata juurdepääs: 146

Ettekavatsematu Online Publikatsioon: 61

Muu: 78

Kokku: 6,783

E-privaatsuse rikkumised

DPC sai e-privaatsuse eeskirjade (2011. aasta SI nr 336) alusel kokku 70 kehtivat andmerikkumisteatist, mis moodustas veidi üle 1% kogu aasta teatatud kehtivatest juhtumitest.

LED Rikkumised

DPC sai ka 25 rikkumisteatist seoses LED-iga (direktiiv (EL) 2016/680), mis on Iirimaa õigusesse üle võetud 2018. aasta andmekaitseseaduse teatud osadega.

DPC Rikkumise hindamine

Kui DPC-le on esitatud rikkumisest teade, hindab DPC seda, võttes arvesse rikkumise mitut aspekti ja sellega kaasnevaid riske. Esimene neist on rikkumise olemus, sealhulgas see, kas see oli tahtlikult või juhuslikult põhjustatud, kas andmed on ülefiltreeritud või kättesaamatuks tehtud ning kaasatud tehnoloogia ja organisatsiooni viisid. Teatud tüüpi rikkumiste ajalugu võib viidata süsteemsele probleemile, mis mõjutab individuaalset vastutavat töötlejat, konkreetset asukohta või kogu majandussektorit. Asjaomaste isikuandmete omadused on kesksel kohal DPC hindamisel. Nende hulka kuuluvad isikuandmete tüübid, vorming ja tundlikkus, mõjutatud isikute ja kirjete arv ning andmete lugemise või levitamise võimalus. DPC uurib, kas on toimunud selliseid aspekte nagu profileerimine, automatiseeritud otsuste tegemine, seire või jälgimine.

Samamoodi võib andmesubjektide liigitamine — näiteks see, kas nad on lapsed või haavatavad isikud — ning vastutava töötleja ja/või volitatud töötleja tunnused, nagu seadusjärgsed kohustused või muud liiki isikuandmete töötlemine. Arvesse võetakse andmesubjektide mahtu ja nende andmesubjektide asukohta.

Teised tegurid, mida tuleb arvestada, on andmesubjektidele tekitatud kahju, mis tuleneb rikkumisest mõjutatud isikuandmete avalikustamisest, väärkasutamisest või kadumisest. Andmete vastutavad töötlejad jätavad sageli tähelepanuta riskihindamise aspekti. Kahju võib ulatuda ajutistest ebamugavustest kuni väga tõsiste riskideni, nagu identiteedivargus, rahaline kahju ja haiguslike seisundite vale diagnoosimine või mainekahjustumine. DPC kaalub, milline on mõju mõjutatud isikutele, sealhulgas raskusaste, ulatus ja kontekst isikute.

Lõpuks DPC hindab leevendavaid tegureid, näiteks kas varukoopiaid on saadaval, haavatavused on adresseeritud ja kas andmed on allalaadimise või edasise avalikustamise takistatud. Sageli ei rakenda vastutavad töötlejad lihtsaid meetmeid, näiteks e-posti teel jagatava teabe krüpteerimist, tagades, et kõik IT-turbemeetmed on olemas, kuid neid regulaarselt ajakohastatakse. Kõnealuseid tegureid võetakse hindamisel arvesse.

Kui faktid ei ole täielikult teada või jäävad ebaselgeks pärast DPC esialgset hinnangut rikkumisele, jätkavad nad vastutava töötlejaga suhtlemist seni, kuni kõik küsimused on reageeritud DPC rahuldavalt. Mõnel juhul võidakse vastutavalt töötlejalt või volitatud töötlejalt paluda rikkumise põhjuseid ja tagajärgi ümber hinnata ning oma järeldustest aru anda. Komplekssete IT-küsimustega seotud rikkumised võivad vajada DPC tehniliste spetsialistide hindamist ja analüüsi. Juhul kui vastutav töötleja on esitanud või tellinud rikkumise kohta tehnilise aruande või uurimisaruande, taotletakse selle koopiat.

Kuni uurimise lõpuleviimiseni võib DPC suunata ja jälgida rikkumise tagajärgede kõrvaldamiseks või leevendamiseks rakendatud meetmete edusamme järjepidevalt. Need võivad hõlmata andmesubjektide teavitamist isikuandmete kaitse üldmääruse artikli 34 kohasest rikkumisest või tehniliste või organisatsiooniliste meetmete rakendamisest haavatavuste kõrvaldamiseks.

Tuginedes oma hinnangule ja vastutava töötleja tegevusele edasiste sarnaste intsidentide ennetamiseks või leevendamiseks, võib DPC lõpetada uurimise käesoleval hetkel. Kui DPC ei ole rahul leevendamise või vastuseid vastuseid vastutav töötleja, see võib laieneda küsimus edasiseks uurimise/täitetoiminguks.

Täieliku aruande läbivaatamine (PDF)

DPC 2020 aastaaruanne (inglise keeles)

Lugege algset postitust andmekaitse komisjoni (DPC Ireland) veebisaidi kaudu.

* Autoriõigusega kaitstud teabe märkus jagatakse loal vastavalt Avaliku sektsiooni Teabe taaskasutamisele

Täiendav lugemine

Andmekaitse Komisjon (DPC) Iirimaa

Iiri värskendus: DPC Ireland avaldab isikuandmete kaitse üldmääruse regulatiivse tegevuse aruande (2018-2020)

Allikas: ComplexDiscovery

CISA, FBI ja NSA ühine küberturvalisuse nõuandev väljapressimise kohta BlackMatter

This Joint Cybersecurity Advisory from the CISA, FBI, and NSA provides...

Hoiame saladusi? Pangasaladuse väljapressimise suundumuste seaduse andmed ajavahemikus jaanuar 2021 kuni juuni 2021

According to a recently published report, the U.S. Treasury's Financial Crimes...

Geograafiline kujutamine: lunavara rünnakud Ameerika Ühendriikides 2018i ja tänase vahel

Published by Comparitech, a pro-consumer website providing information, tools, reviews, and...

Soovitused tarkvara nõrkuste ohu leevendamiseks: NIST Secure Software Development Framework

This draft document from NIST on a proposed secure software development...

Consilio lõpetab Adecco erilise nõustaja õigusliku nõustamise ja e-juurdluse äriüksuste omandamise

According to Andy Macdonald, CEO of Consilio, “Consilio’s acquisition of D4...

Cellebrite omandada digitaalseid vihjeid

According to Cellebrite CEO Yossi Carmil, “We are pleased to announce...

iCONECT omandab Ayfie inspektori tehisintellekti koodebaasi

According to Ian Campbell, CEO of iCONECT, “Direct access to the...

e-juurdluse ühinemised, ülevõtmised ja investeeringud kvartalis 2021

From Ipro and Disco to Nuix and Lighthouse, the following findings,...

Uus ajastu e-juurdluse? Turukasvu raamimine kuue ajastute objektiivi kaudu

There are many excellent resources for considering chronological and historiographical approaches...

E-juurdluse turu suurus Mashup: 2020-2025 ülemaailmne tarkvara ja teenuste ülevaade

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

Lähtestamine lähtestamine? e-juurdluse turu suuruse kohandused aastaks 2020

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Kodu või eemal? e-juurdluse kollektsiooni turu suuruse ja hinnakujunduse kaalutlused

One of the key home (onsite) or away (remote) decisions that...

Viis suurt lugemist küber-, andme- ja õigusliku avastuse kohta septembriks 2021

From countering ransomware to predictive coding and packaged services, the September...

Viis suurt lugemist küber-, andme- ja õigusliku avastuse kohta augustis 2021

From the interplay of digital forensics in eDiscovery to collecting online...

Viis suurt lugemist küber-, andme- ja juriidilise avastuse kohta 2021. aasta juulis

From considerations for cyber insurance and malware to eDiscovery business confidence...

Viis suurt lugemist e-juurdluse kohta juuni 2021

From remediating cyberattacks to eDiscovery pricing, the June 2021 edition of...

Saagikoristuse aeg? E-juurdluse operatiivmõõdikud 2021. aasta sügisel

In the fall of 2021, 67 eDiscovery Business Confidence Survey participants...

Seasonably kuum? Sügis 2021 e-juurdluse ettevõtete usalduse uuringu tulemused

Since January 2016, 2,595 individual responses to twenty-four quarterly eDiscovery Business...

Veel Loomapidajaid? Prognoositav kodeerimise tehnoloogiate ja protokollide uuring — sügisel 2021 tulemused

From the most prevalent predictive coding platforms to the least commonly...

Hõõguvad ootused? Kaheksateist tähelepanekut e-juurdluse ettevõtete usalduse kohta 2021. aasta suvel

In the summer of 2021, 63.3% of survey respondents felt that...