Video: EU:n tietosuoja-asetus ja sen vaikutukset - Mikko Hyppönen (F-secure) - #TietoturvallinenSuomi (Marraskuu 2024)
Yleinen tietosuoja-asetus (GDPR) tulee voimaan EU: ssa perjantaina, mutta se koskee kaikkia globaaleja yrityksiä, joilla on mitään tekemistä kaikenlaisen tietojen käsittelyn tai tallentamisen kanssa.
GDPR on kova ja rangaistus noudattamatta jättämisestä on drakoninen. Esimerkiksi kirjanpitovelvoitteiden rikkominen johtaa 10 miljoonan euron sakkoon tai 2 prosenttiin kokonaistulosta sen mukaan, kumpi on suurempi. Ihmisten tietosuojaoikeuksien loukkaaminen tai kaikenlainen lainvastainen tiedonsiirto EU: n ulkopuolelle johtaa 20 miljoonan euron sakkoon tai 4 prosenttiin kokonaistulosta sen mukaan, kumpi on suurempi.
GDPR: n mukaan henkilöt voivat nostaa kanteen oikeuksiensa loukkauksista. Sinulla on enemmän hallintaa omiin tietoihisi kuin mitä koskaan voisi kuvitella. Väitetään, että kukaan ei voi tehdä mitään henkilökohtaisten tietojesi kanssa (mukaan lukien tunnusnumero, sijaintitiedot, online-tunnisteet, geneettiset tiedot ja biometriset tiedot) ilman erillistä suostumustasi, ja voit peruuttaa suostumuksen milloin tahansa. Tämä on eräänlainen jatko EU: n "oikeus unohtaa" -idealle. Olisi hauska nähdä miten tämä toimii.
Minun on oletettava, että tämä ei tarkoita hienoa tulostusta tai huijausta. Nämä säännöt heittävät jakoavaimen kaikkiin hienoihin markkinointisuunnitelmiin, paitsi jos jossain linjan varrella sinut imetään antamaan viltti suostumus sanomalla että kaikki menee. Tämä voi myös olla laitonta.
Sivuna on mielenkiintoista nähdä, kuinka oikeutesi voidaan kehittää erilaisissa blockchain-järjestelmissä, joita näyttää olevan mahdotonta muokata tai purkaa satunnaisesti ketjussa. Näyttää siltä, että se olisi painajainen.
Naurettavien vaatimusten ja rikkomusten tai rikkomusten sakkojen vuoksi epäilen tapahtuvan pahinta: vääriä raportteja eikä koskaan ilmoittamista rikkomuksista.
Koska GDPR-poliisia ei ole, yritykset voivat väittää noudattavansa vaatimuksia ja vain valehdella kenellekään, joka esittää liian monia kysymyksiä. Jos ihmettelet, miksi Amazon-ostoksesi näkyy nyt jonkin muun verkkosivuston mainoksessa, se on vain sattumaa.
Yritysten on ilmoitettava tietosuojarikkomuksista 72 tunnin kuluessa, eikä odota kuukausia. Entäkö koskaan ilmoittaisi siitä? Ilmoittajat voivat tietysti kumota tämän. Ja tämä johtaa minut potentiaaliseen käsikirjoitusdialogiin elokuvasta kaikesta tästä.
Jenkins: (tunkeutuu toimistoon) Pomo, pomo!
Boss: Mikä se on Jenkins? Mitä olet niin vaivannut?
Jenkins: Löysimme tietorikkomuksen viikko sitten ja rikkomme GDPR-ilmoitusvaatimuksia?
Pomo: Mitä? Kuinka tämä tapahtui? Kuinka paha se on?
Jenkins: Se on huono.
Boss: Kuka muu tietää tästä?
Jenkins: Ainoaan Bill Olsen ja Jim Thresher.
Pomo: Tapa heidät!
Laki edellyttää, että yrityksillä on tietosuojavastaava. Tämä johtaa palkkaamaan paljon amatöörejä ja ripustimia, jotka ottavat tämän roolin ja tietävät melkein mitään.
Tämä tiedon puute korjataan nopeasti lukemattomalla määrällä seminaareja ja vasta perustettuja organisaatioita, jotka ottavat huolen ja tuovat kaikki nuuskaamaan luomalla parhaat käytännöt. Perustettua ja toteutettuaan jokainen voi jäädä heille takaisin tekosyynä, kun kaikki menee pieleen. Toisin sanoen, jos teet kaiken heidän mukaansa, epäonnistuminen ei ole sinun syytäsi.
Näkemykseni mukaan GDPR aikoo tehdä sotkua ennemmin kuin myöhemmin. Epäilen myös, että Google, Amazon ja Facebook ovat ensisijaisia kohteita, jotta EU voi liottaa niitä suurilla sakkoilla.
Pidä sillä välin tietojasi silmällä. Perjantaina se on kaikki sinun.