Der 25 May 2018 wird in allen EU-Ländern die neue EU-Verordnung 2016 / 679 direkt anwenden. Dies ist ein echter historischer Wendepunkt im Hinblick auf den Schutz personenbezogener Daten, der darauf abzielt, eine größere Sicherheit für die Rechte und Freiheiten des Einzelnen zu gewährleisten. Um die wahren Früchte zu sehen, werden einige "Pillen" präsentiert, aus denen sich weitere Überlegungen zu den Wechselbeziehungen zwischen Datenschutz und Sicherheit inspirieren lassen.
Die Verordnung wird, wie bereits erwähnt, unterschiedliche Regeln und Verpflichtungen einführen, die sich sowohl an den öffentlichen als auch an den privaten Sektor richten. Zusätzlich zu größerer Klarheit und Einfachheit in Bezug auf Information und Einwilligung, der Versuch der Verordnung (auch DSPR genannt, Allgemeine Datenschutzverordnung) soll einen besseren Schutz für alle Bürger der Union gewährleisten, obwohl es jedem Staat möglich sein wird, sich unabhängig an den Inhalt der Verordnung anzupassen. Der Vorteil dieser neuen Gesetzgebung besteht darin, dass sie zusammen mit einem anderen Instrument, der sogenannten PNR-Richtlinie (Nr. 680/2016), über die zuständigen Behörden zur Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder zur Durchführung strafrechtlicher Sanktionen zur Förderung herauskommt die Weitergabe personenbezogener Daten zwischen den Sicherheitsbehörden. Erneut wird die mit der Wahrnehmung dieser Aufgabe beauftragte Einrichtung der Datenschutzgarant sein, der zu einer echten nationalen Aufsichtsbehörde wird. In diesem Sinne ist das kürzlich zwischen der Behörde und der DIS im Rahmen einer größeren Sicherheit für die Republik unterzeichnete Protokoll nicht unerwartet (v.link). Lassen Sie uns nun zusammen 5-Schlüsselpunkte der neuen Gesetzgebung sehen, die sicherlich Auswirkungen auf die Verteidigungssysteme haben wird - mit den notwendigen Abschwächungen und Besonderheiten -:
1) Einführung des Konzepts der "Verantwortung" des Eigentümers (Accountability)
Mit der DSGVO ist der für die Datenverarbeitung Verantwortliche verpflichtet (die natürliche oder juristische Person, die allein oder zusammen mit anderen die Zwecke und Instrumente der Verarbeitung personenbezogener Daten bestimmt), einen Schritt in Richtung einer größeren Verantwortung gegenüber den betroffenen Personen zu machen auf die sich die verarbeiteten personenbezogenen Daten beziehen). Der Datenverantwortliche ist insbesondere verpflichtet, jede aktive oder ablehnende Entscheidung in Bezug auf Verarbeitungstätigkeiten zu dokumentieren: Entscheidungen zur Datensicherheit, zur Wahrung, zum Schutz der Rechte betroffener Personen und zur Datenanalyse sind in dieser Logik enthalten. Risiken für die Rechte und Freiheiten des Einzelnen, um einen Belohnungsmechanismus für die tugendhaften Inhaber dieser Themen zu schaffen und die unvorsichtigsten Inhaber mit einem größeren Maß an Verantwortung zu bestrafen.
2) Meldepflicht bei Verletzung personenbezogener Daten (Datenschutzverletzung)
Die DSGVO führt die Verpflichtung ein, Verstöße gegen persönliche Daten allen Verantwortlichen für die Verarbeitung personenbezogener Daten zu melden. Auch öffentliche Stellen müssen neben Unternehmen den Garantiegeber unverzüglich auf Verletzungen der personenbezogenen Daten der betroffenen Parteien hinweisen. Bitte beachten Sie, dass aufgrund der "Verletzung personenbezogener Daten" die Verordnung eine Sicherheitsverletzung bedeutet, die zufällige oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Weitergabe oder den Zugriff auf übertragene, gespeicherte oder sonstige personenbezogene Daten beinhaltet behandelt. Es versteht sich von selbst, dass der bloße Zugriff und die Anzeige friedlich einer Datenverletzung entsprechen, während für Aktionen mit geringerer Auswirkung - wie zum Beispiel Port-Scanning - bisher keine konkreten Hinweise vorliegen. Unter den in der Technik vorgesehenen Vorschriften. 34 der DSGVO, Referenzregel zur Datenpanne, einschließlich eines Benachrichtigungszeitraums von 72h ab dem Zeitpunkt, an dem der Verantwortliche Kenntnis von dem Verstoß erlangt hat, innerhalb dessen bestimmte Spezifikationen des Verstoßes gegenüber der Behörde mitgeteilt werden müssen: in den schwerwiegendsten Fällen Diese Verpflichtung wird auch auf die an der Verarbeitung Beteiligten ausgedehnt.
3) Spezifischer Schutz für die personenbezogenen Daten von Patienten, die von Behandlungen aufgrund automatisierter Entscheidungen betroffen sind
Mit der neuen Verordnung sollte die interessierte Partei das Recht haben, nicht einer Entscheidung unterworfen zu werden, die eine Maßnahme zur Bewertung persönlicher Aspekte in Bezug auf ihn enthalten kann, die ausschließlich auf einer automatisierten Verarbeitung beruht und rechtliche Auswirkungen hat, die sie oder ihn betreffen analog auf seine Person. Diese Behandlung umfasst die "Profilerstellung", die aus einer Form der automatisierten Verarbeitung personenbezogener Daten besteht, bei der persönliche Aspekte einer natürlichen Person bewertet werden, insbesondere um Aspekte der beruflichen Leistung, der wirtschaftlichen Situation, der Gesundheit, zu analysieren oder vorherzusagen. Präferenzen oder persönliche Interessen, Zuverlässigkeit oder Verhalten, Ort oder Bewegungen des Interessenten, wenn dies rechtliche Auswirkungen hat, die ihn betreffen oder seine Person in ähnlicher Weise erheblich beeinträchtigen. Entscheidungen auf der Grundlage einer solchen Verarbeitung, einschließlich der Erstellung von Profilen, sollten jedoch zulässig sein, wenn dies ausdrücklich im Recht der Union oder der Mitgliedstaaten vorgesehen ist, denen der für die Verarbeitung Verantwortliche unterliegt, auch zum Zwecke der Überwachung und Verhinderung von Betrug. und Steuerhinterziehung gemäß den Vorschriften, Standards und Empfehlungen der Organe der Union oder der nationalen Aufsichtsbehörden und zur Gewährleistung der Sicherheit und Zuverlässigkeit eines vom für die Verarbeitung Verantwortlichen erbrachten Dienstes oder wenn dies für den Abschluss erforderlich ist oder die Ausführung eines Vertrags zwischen der betroffenen Person und einem für die Verarbeitung Verantwortlichen oder wenn die betroffene Person ihre ausdrückliche Zustimmung gegeben hat. In jedem Fall sollte eine solche Verarbeitung angemessenen Sicherheitsvorkehrungen unterliegen, die spezifische Informationen für die betroffene Person und das Recht auf menschliches Eingreifen, auf Meinungsäußerung, auf Erklärung der nach einer solchen Bewertung getroffenen Entscheidung und auf einschließen sollten die Entscheidung anfechten. Diese Maßnahme sollte keine Minderjährigen betreffen. Beachten Sie, dass diese Annahme auch und vor allem in Bezug auf die möglichen Entscheidungen gelten würde, die eine KI (Künstliche Intelligenz) treffen könnte, um beispielsweise die Sicherheit eines Ortes oder die Gefahr eines Individuums zu bewerten (wir wissen, dass heute Algorithmen wie dies zielte darauf ab, Kriminalität zu verhindern - cd Pre-Crime - sie sind Realität).
4) Verpflichtung zur Durchführung einer Folgenabschätzung zum Schutz personenbezogener Daten (DPIA)
Es ist in der Kunst vorgesehen. 35 der Verordnung die Verpflichtung für die Eigentümer oder Verwalter, eine Folgenabschätzung zum Schutz personenbezogener Daten durchzuführen, sogenannte "DPIA" (Data Protection Impact Assessment), die darauf abzielt, die potenziellen Risiken - im Vergleich zu einer Behandlung - für die Rechte und Freiheiten der Betroffenen. Die DPIA ist ein besonders komplexes Verfahren mit äußerst strengen technischen Spezifikationen. Sie muss abgeschlossen sein, wenn eine Art der Behandlung, bei der insbesondere die Verwendung neuer Technologien unter Berücksichtigung der Art, des Gegenstands, des Kontextes und der Zwecke der Behandlung vorgesehen ist, ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen kann . Eine einzelne Bewertung kann auch eine Reihe ähnlicher Behandlungen mit ähnlich hohen Risiken untersuchen. Es gibt mehrere Fälle von obligatorischer DPIA, die sich alle auf den Schutz der öffentlichen Sicherheit auswirken:
a) wenn eine systematische und umfassende Bewertung der persönlichen Aspekte natürlicher Personen vorgenommen wird, die auf einer automatisierten Verarbeitung, einschließlich Profilerstellung, beruht und auf der Entscheidungen beruhen, die Rechtswirkungen haben oder diese Personen erheblich beeinträchtigen;
b) bei der Verarbeitung von bestimmten Kategorien personenbezogener Daten (z. B. zu Gesundheit, politischen Ansichten, religiösen Überzeugungen usw.) oder gerichtlichen Daten in großem Umfang
(c) wenn eine groß angelegte systematische Überwachung eines öffentlich zugänglichen Bereichs durchgeführt wird.
5) Offiziell eingeführt die neue Figur des Datenschutzbeauftragten (DPO)
Schließlich wird in der Verordnung die neue Zahl des Datenschutzbeauftragten des Datenschutzbeauftragten eingeführt. Dies ist in jeder Hinsicht eine für den Datenschutz zuständige Person (auch ins Italienische übersetzt), die unter ihren Aufgaben die Richtigkeit - in Bezug auf den Datenschutz - konstante und aktualisierte Datensicherheit und deren Einhaltung sicherstellen muss Unternehmen / Gesellschaft der DSGVO.
Beachten Sie, dass diese Zahl für öffentliche Einrichtungen obligatorisch ist und in der Lage sein muss, direkt dem Management-Gipfel Bericht zu erstatten.
(Foto: US-Verteidigungsministerium)
