Crëwyd y GDPR i roi mwy o reolaeth i ddinasyddion yr UE dros eu data personol. Ac o ran nifer y cwynion, “cyflawnwyd” y nod: dros y flwyddyn ddiwethaf, dechreuodd Ewropeaid adrodd am droseddau gan gwmnïau yn amlach, a derbyniodd y cwmnïau eu hunain a dechreuodd gau gwendidau yn gyflym er mwyn peidio â derbyn dirwy. Ond “yn sydyn” daeth i’r amlwg bod y GDPR ar ei fwyaf gweladwy ac effeithiol o ran naill ai osgoi cosbau ariannol neu’r angen iawn i gydymffurfio ag ef. A hyd yn oed yn fwy - wedi'i gynllunio i roi diwedd ar ollyngiadau data personol, y rheoliad wedi'i ddiweddaru yw eu hachos.
Gadewch i ni ddweud wrthych beth sy'n digwydd yma.
Фото - - unsplash
Beth yw'r broblem
O dan y GDPR, mae gan ddinasyddion yr UE yr hawl i ofyn am gopi o’u data personol sydd wedi’i storio ar weinyddion cwmni. Yn ddiweddar daeth yn hysbys y gellir defnyddio'r mecanwaith hwn i gasglu PD person arall. Un o'r cyfranogwyr yng nghynhadledd Black Hat , pan dderbyniodd archifau gyda data personol ei ddyweddi gan wahanol gwmnïau. Anfonodd geisiadau perthnasol ar ei rhan at 150 o sefydliadau. Yn ddiddorol, dim ond cyfeiriad e-bost a rhif ffôn oedd ei angen ar 24% o gwmnïau fel prawf adnabod - ar ôl eu derbyn, fe wnaethon nhw ddychwelyd archif gyda ffeiliau. Gofynnodd tua 16% o sefydliadau hefyd am ffotograffau o basbort (neu ddogfen arall).
O ganlyniad, llwyddodd James i gael rhifau Nawdd Cymdeithasol a cherdyn credyd, dyddiad geni, enw cyn priodi a chyfeiriad preswyl ei “ddioddefwr.” Un gwasanaeth sy'n eich galluogi i wirio a yw cyfeiriad e-bost wedi'i ollwng (enghraifft o wasanaeth fyddai ), hyd yn oed anfon rhestr o ddata dilysu a ddefnyddiwyd yn flaenorol. Gall y wybodaeth hon arwain at hacio os na fydd y defnyddiwr byth yn newid y cyfrineiriau neu'n eu defnyddio yn rhywle arall.
Mae enghreifftiau eraill lle daeth data i ben yn y dwylo anghywir ar ôl cael eu hanfon yn “wallus”. Felly, dri mis yn ôl un o ddefnyddwyr Reddit gwybodaeth bersonol amdanoch chi'ch hun o Epic Games. Fodd bynnag, anfonodd ei PD ar gam at chwaraewr arall. Digwyddodd stori debyg y llynedd. Cwsmer Amazon Archif 100 megabeit gyda cheisiadau Rhyngrwyd i Alexa a miloedd o ffeiliau WAF defnyddiwr arall.
Фото - - unsplash
Dywed arbenigwyr mai un o'r prif resymau dros sefyllfaoedd o'r fath yw anghyflawnder y Rheoliad Diogelu Data Cyffredinol. Yn benodol, mae'r GDPR yn nodi'r amserlen y mae'n rhaid i gwmni ymateb iddi i geisiadau defnyddwyr (o fewn mis) ac yn pennu dirwyon - hyd at 20 miliwn ewro neu 4% o refeniw blynyddol - am fethu â chydymffurfio â'r gofyniad hwn. Fodd bynnag, nid yw'r gweithdrefnau gwirioneddol a ddylai helpu cwmnïau i gydymffurfio â'r gyfraith (er enghraifft, sicrhau bod data'n cael ei anfon at eu perchennog) wedi'u nodi ynddi. Felly, mae'n rhaid i sefydliadau adeiladu eu prosesau gwaith yn annibynnol (weithiau trwy brofi a methu).
Sut gallaf wella'r sefyllfa?
Un o’r cynigion mwyaf radical yw rhoi’r gorau i’r GDPR neu ei ail-wneud yn radical. Mae yna farn nad yw'r gyfraith yn ei ffurf bresennol yn gweithio, gan ei bod yn iawn ac yn rhy gaeth, a rhaid i chi wario llawer o arian i gwrdd â'i holl ofynion.
Er enghraifft, y llynedd, gorfodwyd datblygwyr y gêm Super Monday Night Combat i ganslo eu prosiect. Yn ôl ei grewyr, y gyllideb sydd ei hangen i ailgynllunio systemau ar gyfer GDPR , wedi'i ddyrannu i'r gêm saith oed.
“Yn aml iawn nid oes gan fusnesau bach a chanolig yr adnoddau technolegol a dynol i ddeall gofynion rheoleiddwyr a gwneud y paratoadau angenrheidiol,” meddai Sergey Belkin, pennaeth adran ddatblygu’r darparwr IaaS . “Dyma lle gall gwerthwyr mawr a darparwyr IaaS ddod i’r adwy, gan ddarparu seilwaith TG diogel i’w rentu. Er enghraifft, yn 1cloud.ru rydym yn gosod ein hoffer mewn canolfan ddata, yn unol â safon Haen III a helpu cleientiaid i gydymffurfio â gofynion Cyfraith Ffederal Rwsia-152 “Ar Ddata Personol”.
Фото - - unsplash
Mae yna hefyd safbwynt i'r gwrthwyneb, nad yw'r broblem yma yn y gyfraith ei hun, ond yn awydd cwmnïau i gyflawni ei ofynion yn ffurfiol yn unig. Un o drigolion Hacker News : mae'r rheswm dros ollwng data personol yn gorwedd yn y ffaith bod sefydliadau y mecanweithiau gwirio symlaf, sy'n cael eu pennu gan synnwyr cyffredin.
Un ffordd neu'r llall, nid yw'r Undeb Ewropeaidd yn mynd i gefnu ar y GDPR yn y dyfodol agos, felly dylai'r sefyllfa a gafodd ei thaflu goleuni yn ystod cynhadledd Black Hat fod yn gymhelliant i gwmnïau dalu mwy o sylw i ddiogelwch data personol.
Beth rydyn ni'n ysgrifennu amdano ar ein blogiau a'n rhwydweithiau cymdeithasol:
1seilwaith cwmwl ym Moscow yn Dataspace. Dyma'r ganolfan ddata gyntaf yn Rwsia i basio ardystiad Haen lll gan y Uptime Institute.
Ffynhonnell: hab.com