2022 ist das Thema Datenleck, oder die Verletzung personenbezogener Daten und viele andere Probleme im Zusammenhang mit der Privatsphäre von Webbenutzern. Last, but not least, die Nachricht, dass die Privacy Guarantor hat die Verwendung von Google Analytics in Italien untersagt.
Angesichts der starken Bedeutung, die dieses Thema erregt hat, werden wir in diesem Artikel sehen, was a Datenleck und wie man sich verhält, wenn man ein Opfer ist. Damit unsere Kunden vorbereitet sind, falls ihnen das passiert.
Was bedeutet Datenschutzverletzung?
Mit dem Begriff Datenleck Unter einer Sicherheitsverletzung wird verstanden, "die - versehentlich oder illegal - die Zerstörung, den Verlust, die Änderung, die unbefugte Offenlegung oder den Zugriff auf personenbezogene Daten, die übertragen, gespeichert oder auf andere Weise verarbeitet werden, beinhaltet".1
Mit anderen Worten, wer ist das Opfer von Datenleck riskieren, dass die Vertraulichkeit und sogar die Zugänglichkeit ihrer Daten gefährdet werden. Beispiele hierfür sind die Datenerfassung durch unbefugte Dritte, Datendiebstahl und die Unfähigkeit, auf Daten aufgrund externer Angriffe und Malware zuzugreifen.
Was ist im Falle einer Datenpanne zu tun?
Die derzeit geltende Gesetzgebung, die die Verletzung personenbezogener Daten regelt, ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016.
Dem Dokument zufolge litt das Subjekt unter a Datenleck, unabhängig davon, ob es sich um eine öffentliche Einrichtung, ein Unternehmen, eine Vereinigung oder einen Gewerbetreibenden handelt, muss den erlittenen Schaden innerhalb von 72 Stunden ab dem Zeitpunkt melden, an dem er davon Kenntnis erlangt. Hier muss jedoch eine erste Unterscheidung getroffen werden.
Eine mögliche DatenleckTatsächlich muss es immer registriert werden, aber es muss dem Datenschutzgaranten nur gemeldet werden, wenn es ein tatsächliches Risiko für die Rechte und Freiheiten des Einzelnen beinhaltet. In jedem Fall ist es jedoch erforderlich, den Datenverantwortlichen oder die Person, deren Daten kompromittiert wurden, zu benachrichtigen.
Für den Fall, dass Sie sich für eine Benachrichtigung entscheiden, benötigt der Garant einige Informationen:
- die Art des Verstoßes;
- die Anzahl der betroffenen Personen;
- die Kontaktdaten des Datenschutzbeauftragten;
- was sind die möglichen Folgen des Verstoßes;
- welche Maßnahmen die Datenverantwortlichen ergriffen haben.
Dies sind nützliche Informationen, um eine Haftung zu prüfen und die Dynamik von Ereignissen festzustellen, und es ist wichtig, sie auch zu einem späteren Zeitpunkt bereitzustellen. Wer leidet a Datenleck, in der Tat muss es beweisen Rechenschaftspflicht.
Rechenschaftspflicht
Dieser englische Begriff wird wörtlich übersetzt Verantwortung, aber es vermittelt eine etwas andere Bedeutung als wir es normalerweise verstehen. Die korrekteste Übersetzung, die hauptsächlich im juristischen Bereich verwendet wird, wäre „eine Rechenschaft ablegen können“.
Der Datenverwalter muss daher nachweisen können, dass er korrekt gehandelt hat und in der Lage ist, die Situation zu bewältigen. Im Wesentlichen ist nachzuweisen, dass alle für den Datenschutz erforderlichen Mindestmaßnahmen umgesetzt wurden, basierend auf dem Risiko, das sich aus einem möglichen ergeben würde Datenleck.
In der Praxis gilt das Prinzip der Rechenschaftspflicht basiert auf drei Konzepten:
- dort Transparenz: Das Unternehmen muss Zugang zu allen Informationen in seinem Besitz gewähren;
- dort Möglichkeit, die durchgeführten Aktionen zu demonstrieren: damit überprüft werden kann, ob alle erforderlichen Sicherheitsmaßnahmen getroffen wurden;
- dort Beachtung: die Fähigkeit, interne Gesetze und Vorschriften innerhalb des Unternehmens durchzusetzen.
Welche Verstöße müssen gemeldet werden?
Wie erwähnt, müssen nicht alle Verstöße gegen personenbezogene Daten zwingend dem Garanten gemeldet werden. Nur ich Datenleck die Auswirkungen auf Personen haben können, durch physische, materielle oder immaterielle Schäden.
Dies ist jedoch eine Situation, die sorgfältig analysiert werden muss, bevor man sich gegen eine Benachrichtigung entscheidet. Während der Überprüfung möchte der Garant tatsächlich die Gründe für diese Wahl wissen und nachweisen, dass die Datenleck nicht meldepflichtig ist, ist keine einfache Sache. Um die Verantwortlichkeit nachzuweisen, ist es daher wichtig, das Verfahren zum Umgang mit Verletzungen des Schutzes personenbezogener Daten so weit wie möglich zu befolgen.
Was passiert als nächstes?
Falls Sie feststellen, dass Sie gelitten haben a Datenleckhat der Datenschutzgarant ein Formular zum Ausfüllen bereitgestellt (unter dieser Adresse https://servizi.gpdp.it/databreach/s/) und elektronisch übermitteln.
Nach Eingang der Meldung prüft die Behörde, was passiert ist und bewertet, ob es Unregelmäßigkeiten und Verantwortlichkeiten seitens des Unternehmens gegeben hat. Die vorgesehenen Geldstrafen sind sehr hoch und können bis zu 10 Millionen Euro oder bei Unternehmen bis zu 2% ihres Gesamtumsatzes betragen.
Für diejenigen, die mehr erfahren möchten, sind auf derselben Website auch Richtlinien zur Meldung von Verletzungen des Schutzes personenbezogener Daten und einige damit zusammenhängende Beispiele verfügbar. Hier sind die Links:
