Нарушение персональных данных: КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных \ КонсультантПлюс

Разное 

Содержание

Ответственность за нарушение требований Закона «О персональных данных» — ИСПДн.инфо

03.02.2010

Положения Закона «О персональных данных» предусматривают следующие виды ответственности: Статья 24 Закона № 152-ФЗ: «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность».

В текущем законодательстве предусмотрены следующие виды ответственности:

Кодекс об Административных Правонарушениях РФ (КоАП РФ)

КоАП РФ. Статья 13.11. Нарушение установленного законом «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Нарушение установленного законом «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) — влечет предупреждение или наложение административного штрафа.

КоАП РФ. Статья 13.14. Разглашение информации с ограниченным доступом

Разглашение информации, доступ к которой ограничен федеральным законом «О персональных данных» (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 настоящего Кодекса, (Ст.14.33- недобросовестная конкуренция) влечет наложение административного штрафа.

КоАП РФ. Статья 5.39. Отказ в предоставлении гражданину информации

Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом «О персональных данных», либо предоставление гражданину неполной или заведомо недостоверной информации — влечет наложение административного штрафа.

Уголовный Кодекс РФ (УК РФ)

УК РФ. Статья 137. Нарушение неприкосновенности частной жизни

1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации — наказываются штрафом, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.

УК РФ. Статья 140. Отказ в предоставлении гражданину информации

Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, — наказываются штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет.

УК РФ. Статья 272. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, — наказывается штрафом, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

В настоящее время в связи с принятием Федерального закона № 152 «О персональных данных» планируется внести изменения в некоторые законодательные акты РФ, в том числе в Кодекс об Административных Правонарушениях РФ и Уголовный кодекс РФ, что повлечет существенное увеличение размера наказания за нарушения в сфере обработки персональных данных.

Теги: ответственность 152-ФЗ

Карта сайта

  • Главная
  • Жителям
  • Взаимодействие и сотрудничество
  • Об округе
    • Мой округ
    • Карта округа
    • Почетные жители
    • Фотогалерея
  • Законодательная власть
  • Местная власть
    • Глава муниципального образования
    • Муниципальный Cовет
    • Местная Администрация
      • Отдельные государственные полномочия
  • ИКМО
    • Избирательная комиссия
  • Жителям
    • Взаимодействие и сотрудничество
    • Культура и досуг
    • Молодежная политика
    • Образование
    • Общественные работы
    • Физкультура и спорт
    • Развитие территориального общественного самоуправления
    • Экологическое просвещение
    • Защита прав потребителей
    • Информирование населения по вопросам создания ТСЖ
    • Профилактика дорожно-транспортного травматизма
    • Профилактика наркомании
    • Профилактика правонарушений
    • Профилактика межнациональных конфликтов, социальная адаптация мигрантов
    • Профилактика табакокурения
    • Профилактика терроризма и экстремизма
    • Содействие развитию малого бизнеса
    • Общественные организации
    • Издательская деятельность
    • Консультирование в УКП

Поиск по сайту

AaВерсия для слабовидящих

Утечек персональных данных | ICO

Кратко

  • GDPR Великобритании обязывает все организации сообщать об определенных нарушениях персональных данных в соответствующий надзорный орган.
    Вы должны сделать это в течение 72 часов с момента получения информации о нарушении, если это возможно.
  • Если нарушение может привести к высокому риску неблагоприятного воздействия на права и свободы людей, вы также должны проинформировать этих лиц без неоправданной задержки.
  • Вы должны убедиться, что у вас есть надежные процедуры обнаружения, расследования и внутренней отчетности. Это облегчит принятие решения о том, нужно ли вам уведомлять соответствующий надзорный орган или затронутых лиц, или и то, и другое.
  • Вы также должны вести учет любых утечек личных данных, независимо от того, обязаны ли вы уведомлять об этом.

Контрольные списки

Подготовка к утечке персональных данных

☐ Мы знаем, как распознать утечку персональных данных.

☐ Мы понимаем, что утечка персональных данных — это не только потеря или кража персональных данных.

☐ Мы подготовили план реагирования на любые случаи утечки персональных данных.

☐ Мы возложили ответственность за управление нарушениями на специального человека или команду.

☐ Наши сотрудники знают, как сообщить об инциденте безопасности соответствующему лицу или команде в нашей организации, чтобы определить, произошло ли нарушение.

 

Реагирование на утечку персональных данных

☐ У нас есть процесс оценки вероятного риска для отдельных лиц в результате утечки.

☐ У нас есть процесс информирования пострадавших лиц о нарушении, когда их права и свободы находятся под угрозой.

☐ Мы знаем, что должны информировать пострадавших без неоправданной задержки.

☐ Мы знаем, кто является соответствующим надзорным органом в отношении нашей деятельности по обработке.

☐ У нас есть процедура уведомления ICO о нарушении в течение 72 часов после того, как об этом стало известно, даже если у нас еще нет всех подробностей.

☐ Мы знаем, какую информацию мы должны предоставить ICO о взломе.

☐ Мы знаем, какую информацию о взломе мы должны предоставлять отдельным лицам, и что мы должны давать советы, чтобы помочь им защитить себя от его последствий.

☐ Мы документируем все нарушения, даже если о них не нужно сообщать.

Коротко

  • Что такое утечка персональных данных?
  • Утечка данных при оценке риска
  • Когда нам нужно сообщать людям о взломе?
  • Какую информацию мы должны предоставлять лицам, сообщая им о взломе?
  • О каких нарушениях мы должны уведомить ICO?
  • Какую роль играют процессоры?
  • Сколько времени у нас есть, чтобы сообщить о нарушении?
  • Какую информацию должно содержать уведомление о нарушении для ICO?
  • Что делать, если у нас еще нет всей необходимой информации?
  • Как мы уведомляем ICO о нарушении?
  • Требует ли GDPR для Великобритании принятия каких-либо других мер в ответ на нарушение?
  • Что еще мы должны принять во внимание?
  • Что произойдет, если мы не уведомим ICO обо всех нарушениях, подлежащих уведомлению?

Что такое утечка персональных данных?

Нарушение безопасности персональных данных означает нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным. Сюда входят нарушения, которые являются результатом как случайных, так и преднамеренных причин. Это также означает, что нарушение — это больше, чем просто потеря личных данных.

Пример

Утечка персональных данных может включать:

  • доступ несанкционированного третьего лица;
  • преднамеренное или случайное действие (или бездействие) контроллера или процессора;
  • отправка персональных данных не тому получателю;
  • компьютерных устройств, содержащих персональные данные, утеряны или украдены;
  • изменение персональных данных без разрешения; и
  • потеря доступности персональных данных.

Утечка персональных данных может быть в широком смысле определена как инцидент безопасности, который повлиял на конфиденциальность, целостность или доступность персональных данных. Короче говоря, всякий раз, когда какие-либо личные данные будут случайно потеряны, уничтожены, повреждены или раскрыты, будет иметь место утечка персональных данных; если кто-то получает доступ к данным или передает их без надлежащего разрешения; или если данные становятся недоступными, и эта недоступность оказывает значительное негативное влияние на отдельных лиц.

Оценка риска утечки данных

Декларация 87 GDPR Великобритании гласит, что при возникновении инцидента безопасности вы должны быстро установить, произошла ли утечка персональных данных, и, если это так, незамедлительно принять меры для его устранения, в том числе сообщить об этом ICO, если это необходимо.

Помните, что основное внимание при сообщении о нарушениях уделяется потенциальным негативным последствиям для отдельных лиц. В сводной части 85 GDPR Великобритании поясняется, что:

«Нарушение персональных данных может, если оно не будет устранено надлежащим и своевременным образом, привести к физическому, материальному или нематериальному ущербу для физических лиц, например, к потере контроля над их личными данными или ограничению их прав, дискриминации, краже личных данных. или мошенничество, финансовые потери, несанкционированное изменение псевдонимизации, ущерб репутации, утрата конфиденциальности личных данных, охраняемых профессиональной тайной, или любой другой существенный экономический или социальный ущерб соответствующему физическому лицу».

Это означает, что нарушение может иметь ряд неблагоприятных последствий для людей, включая эмоциональный стресс, а также физический и материальный ущерб. Некоторые утечки персональных данных не приведут к рискам, кроме возможных неудобств для тех, кому эти данные нужны для выполнения их работы. Другие нарушения могут существенно повлиять на лиц, чьи личные данные были скомпрометированы. Вы должны оценивать это в каждом конкретном случае, рассматривая все соответствующие факторы.

Пример

О краже базы данных клиентов, данные которой могут быть использованы для мошенничества с идентификацией, необходимо уведомлять, учитывая ее вероятное воздействие на тех лиц, которые могут понести финансовые потери или другие последствия. Но обычно вам не нужно уведомлять ICO, например, о потере или неуместном изменении списка телефонов сотрудников.

Таким образом, узнав о нарушении, вы должны локализовать его и оценить потенциальные неблагоприятные последствия для отдельных лиц, исходя из того, насколько они серьезны и существенны, а также насколько вероятно, что они произойдут.

Для получения более подробной информации об оценке риска см. раздел IV Руководства Рабочей группы по статье 29 в отношении уведомления об утечке персональных данных.

Когда нам нужно сообщать людям о взломе?

Если нарушение может привести к высокому риску для прав и свобод людей, GDPR Великобритании гласит, что вы должны сообщить заинтересованным сторонам напрямую и без неоправданной задержки. Другими словами, это должно произойти как можно скорее.

«Высокий риск» означает, что требования по информированию отдельных лиц выше, чем для уведомления ICO. Опять же, вам нужно будет оценить как серьезность потенциального или фактического воздействия на людей в результате нарушения, так и вероятность его возникновения. Чем сильнее последствия нарушения, тем выше риск; если вероятность последствий больше, то опять же выше и риск. В таких случаях вам необходимо будет незамедлительно проинформировать пострадавших, особенно если необходимо снизить непосредственный риск причинения им ущерба. Одной из основных причин информирования отдельных лиц является помощь им в принятии мер по защите от последствий нарушения.

Пример

  • В больнице произошел взлом, в результате которого были случайно раскрыты записи пациентов. Пострадавшие лица, вероятно, окажут значительное воздействие из-за того, что конфиденциальные данные и их конфиденциальные медицинские данные станут известны другим. Это может привести к высокому риску для их прав и свобод, поэтому они должны быть проинформированы о нарушении.
  • В университете произошел взлом, когда сотрудник случайно удалил запись с контактными данными выпускников. Детали позже воссоздаются из резервной копии. Маловероятно, что это приведет к высокому риску для прав и свобод этих лиц. Их не нужно информировать о нарушении.
  • Медицинский работник отправляет неправильные медицинские записи другому специалисту. Они немедленно информируют отправителя и надежно удаляют информацию. Маловероятно, что это приведет к риску для прав и свобод личности. Их не нужно информировать о нарушении.

Если вы решите не уведомлять отдельных лиц, вам все равно необходимо будет уведомить ICO, если только вы не сможете продемонстрировать, что нарушение вряд ли приведет к риску для прав и свобод. Вы также должны помнить, что ICO имеет право заставить вас информировать затронутых лиц, если мы считаем, что существует высокий риск. В любом случае вы должны документировать процесс принятия решений в соответствии с требованиями принципа подотчетности.

Какую информацию мы должны предоставлять лицам, сообщая им о взломе?

Вам необходимо четким и понятным языком описать характер утечки персональных данных и, как минимум:

  • имя и контактные данные любого сотрудника по защите данных, который у вас есть, или другой контактный пункт, где можно получить дополнительную информацию полученный;
  • описание возможных последствий утечки персональных данных; и
  • описание мер, принятых или предложенных для устранения утечки персональных данных, и, при необходимости, описание мер, принятых для смягчения любых возможных неблагоприятных последствий.

Если возможно, вы должны дать конкретные и четкие советы людям о шагах, которые они могут предпринять, чтобы защитить себя, и о том, что вы готовы сделать, чтобы помочь им. В зависимости от обстоятельств это может включать такие действия, как:

  • принудительный сброс пароля;
  • рекомендуется использовать надежные уникальные пароли; и
  • , сообщая им, чтобы они обращали внимание на фишинговые электронные письма или мошеннические действия в своих учетных записях.

О каких нарушениях мы должны уведомить ICO?

При возникновении утечки персональных данных необходимо установить вероятность возникновения риска для прав и свобод человека. Если риск вероятен, вы должны уведомить ICO; если риск маловероятен, вам не нужно о нем сообщать. Однако, если вы решите, что вам не нужно сообщать о нарушении, вы должны иметь возможность обосновать это решение, поэтому вы должны задокументировать его.

Какую роль играют процессоры?

Если ваша организация использует обработчик данных, и этот обработчик подвергается нарушению, то в соответствии со статьей 33(2) он должен проинформировать вас без неоправданной задержки, как только ему станет известно.

Пример

Ваша организация (контролер) заключает контракт с фирмой по предоставлению ИТ-услуг (обработчиком) на архивирование и хранение записей клиентов. ИТ-компания обнаруживает атаку на свою сеть, в результате которой личные данные ее клиентов становятся незаконными. Поскольку это нарушение личных данных, ИТ-компания незамедлительно уведомляет вас о том, что нарушение имело место. Вы, в свою очередь, уведомляете ICO, если это необходимо.

Это требование позволяет вам предпринять шаги для устранения нарушения и выполнения ваших обязательств по сообщению о нарушениях в соответствии с GDPR Великобритании.

Если вы пользуетесь услугами обработчика, требования к отчетности о нарушениях должны быть подробно изложены в договоре между вами и вашим обработчиком в соответствии со статьей 28. Для получения более подробной информации о договорах см. наше руководство GDPR Великобритании по договорам и обязательствам между контролерами и процессоры.

Сколько времени у нас есть, чтобы сообщить о нарушении?

Вы должны сообщить ICO о нарушении, подлежащем уведомлению, без неоправданной задержки, но не позднее, чем через 72 часа после того, как вам станет известно об этом. Если вы берете дольше, чем это, вы должны указать причины задержки.

Раздел II Руководства Рабочей группы по Статье 29 об уведомлении об утечке персональных данных содержит более подробную информацию о том, когда можно считать, что контролер «узнал» о нарушении.

Какую информацию должно содержать уведомление о нарушении для ICO?

Согласно GDPR Великобритании, при сообщении об утечке вы должны предоставить:

  • описание характера утечки персональных данных, включая, по возможности:
    • категории и примерное количество заинтересованных лиц; и
    • категории и примерное количество соответствующих записей персональных данных;
  • имя и контактные данные сотрудника по защите данных (если он есть в вашей организации) или другого контактного лица, по которому можно получить дополнительную информацию;
  • описание возможных последствий утечки персональных данных; и
  • описание мер, принятых или предлагаемых к принятию для борьбы с утечкой персональных данных, и, при необходимости, мер, принятых для смягчения любых возможных неблагоприятных последствий.

Что делать, если у нас еще нет всей необходимой информации?

GDPR Великобритании признает, что не всегда возможно полностью расследовать нарушение в течение 72 часов, чтобы точно понять, что произошло и что необходимо сделать, чтобы смягчить его последствия. Таким образом, его статья 33(4) позволяет вам предоставлять необходимую информацию поэтапно, если это делается без неоправданной дальнейшей задержки.

Однако мы ожидаем, что контролеры расставят расследование в приоритетном порядке, предоставят ему достаточные ресурсы и ускорят его в срочном порядке. Вы по-прежнему должны уведомить нас о нарушении, когда вам станет известно о нем, и предоставить дополнительную информацию как можно скорее. Если вы знаете, что не сможете предоставить полную информацию в течение 72 часов, рекомендуется объяснить нам причину задержки и сообщить нам, когда вы собираетесь предоставить дополнительную информацию.

Пример

Вы обнаружили вторжение в вашу сеть и узнали, что к файлам, содержащим персональные данные, был получен доступ, но вы не знаете, как злоумышленник получил доступ, в какой также скопировал данные из вашей системы.

Вы уведомляете ICO в течение 72 часов после того, как вам стало известно о нарушении, пояснив, что у вас еще нет всех соответствующих деталей, но вы ожидаете получить результаты своего расследования в течение нескольких дней. Как только ваше расследование раскрывает детали инцидента, вы без промедления предоставляете ICO больше информации о взломе.

Как мы уведомляем ICO о взломе?

Чтобы уведомить ICO об утечке персональных данных, посетите наши страницы, посвященные сообщениям об утечке. На этих страницах есть инструмент самооценки и несколько примеров утечки персональных данных.

Помните, что нарушение, затрагивающее отдельных лиц в странах ЕЭЗ, повлечет за собой действие GDPR ЕС. Это означает, что в рамках вашего плана реагирования на нарушения вы должны определить, какое европейское агентство по защите данных будет вашим ведущим надзорным органом в отношении деятельности по обработке, которая стала предметом нарушения. Дополнительные рекомендации по определению вашего ведущего органа см. в статье 29.Руководство Рабочей группы по определению вашего ведущего органа.

Требует ли GDPR Великобритании принятия каких-либо других мер в ответ на нарушение?

Вы должны убедиться, что вы записываете все нарушения, независимо от того, нужно ли о них сообщать в ICO.

Статья 33(5) требует, чтобы вы документировали факты, касающиеся нарушения, его последствий и принятых мер по исправлению положения. Это является частью вашего общего обязательства по соблюдению принципа подотчетности и позволяет нам проверить соблюдение вашей организацией своих обязанностей по уведомлению в соответствии с GDPR Великобритании.

Как и в случае любого инцидента, связанного с безопасностью, вы должны выяснить, было ли нарушение результатом человеческой ошибки или системной проблемы, и посмотреть, как можно предотвратить повторение. Человеческая ошибка является основной причиной зарегистрированных утечек данных. Чтобы снизить этот риск, рассмотрите:

  • обязательное вводное и повторное обучение по защите данных;
  • поддержка и надзор до тех пор, пока сотрудники не овладеют своей ролью.
  • обновление политик и процедур для сотрудников, которые должны чувствовать себя в состоянии сообщать об инцидентах, близких к промахам;
  • работает по принципу «два раза проверить, один раз отправить»;
  • внедрение культуры доверия – сотрудники должны чувствовать себя в состоянии сообщать о случаях промахов;
  • расследование основных причин взломов и потенциальных промахов; и
  • для защиты ваших сотрудников и личных данных, за которые вы несете ответственность. Это может включать:
    • Ограничение доступа и системы аудита или
    • Реализация технических и организационных мер, например, отключение автозаполнения.

Как упоминалось ранее, в рамках процесса управления нарушениями вы должны провести оценку рисков и иметь соответствующую матрицу оценки рисков, которая поможет вам управлять нарушениями на ежедневной основе. Это поможет вам оценить влияние нарушений и выполнить требования к отчетности и регистрации. Это послужит основой для вашей политики взлома и поможет вам продемонстрировать свою ответственность в качестве контролера данных.

Что еще мы должны принять во внимание?

Нижеследующее не является конкретными требованиями GDPR Великобритании в отношении нарушений, но вам следует принять их во внимание, если вы столкнулись с нарушением.

В результате нарушения организация может столкнуться с большим объемом запросов или жалоб на защиту данных, особенно в отношении запросов на доступ и стирания. У вас должен быть план на случай непредвиденных обстоятельств, чтобы справиться с возможностью этого. Важно, чтобы вы продолжали работать с этими запросами и жалобами, наряду с любой другой работой, которая была создана в результате нарушения. Вам также следует подумать о том, как вы можете справиться с последствиями для отдельных лиц, в том числе объяснить, как они могут потребовать компенсацию, если того потребует ситуация.

Важно помнить, что у вас могут быть дополнительные обязательства по уведомлению в соответствии с другими законами, если вы столкнулись с утечкой личных данных. Например:

  • Если вы являетесь поставщиком услуг связи, вы должны уведомить ICO о любой утечке персональных данных в течение 24 часов в соответствии с Правилами конфиденциальности и электронных коммуникаций (PECR). Вам следует использовать нашу форму уведомления о нарушении PECR, а не процедуру GDPR. Пожалуйста, посетите наши страницы о PECR для более подробной информации.
  • Если вы являетесь поставщиком трастовых услуг в Великобритании, вы должны уведомить ICO о нарушении безопасности, которое может включать утечку персональных данных, в течение 24 часов в соответствии с Регламентом об электронной идентификации и трастовых услугах (eIDAS). Вы можете использовать нашу форму уведомления о нарушениях eIDAS или процесс сообщения о нарушениях GDPR. Однако если вы сообщите нам об этом в соответствии с GDPR Великобритании, это все равно необходимо сделать в течение 24 часов. Пожалуйста, ознакомьтесь с нашим Руководством по eIDAS для получения дополнительной информации.
  • Если ваша организация является оператором основных услуг или поставщиком цифровых услуг, вы будете обязаны сообщать об инцидентах в соответствии с Директивой NIS. Они отделены от уведомления об утечке персональных данных в соответствии с GDPR Великобритании. Если вы столкнулись с инцидентом, который также является утечкой персональных данных, вам все равно нужно будет отдельно сообщить об этом в ICO, и вы должны использовать для этого процесс GDPR.

Вам также может потребоваться уведомить третьи стороны, такие как полиция, страховые компании, профессиональные организации, банки или компании, выпускающие кредитные карты, которые могут помочь снизить риск финансовых потерь для физических лиц.

Европейский совет по защите данных, пришедший на смену WP29, утвердил Руководящие принципы WP29 по уведомлению о нарушениях персональных данных. Хотя Великобритания вышла из ЕС, эти рекомендации продолжают оставаться актуальными. Вам также следует знать о любых рекомендациях, изданных в соответствии с соответствующими кодексами поведения или отраслевыми требованиями, которым может подчиняться ваша организация.

Что произойдет, если мы не уведомим ICO обо всех нарушениях, подлежащих уведомлению?

Неспособность уведомить ICO о нарушении, когда это необходимо, может привести к крупному штрафу в размере до 8,7 млн ​​фунтов стерлингов или 2% от вашего глобального оборота. Штраф может быть объединен с другими корректирующими полномочиями ICO в соответствии со статьей 58. Важно убедиться, что у вас есть надежный процесс сообщения о нарушениях, чтобы вы могли своевременно обнаруживать нарушения и уведомлять о них, а также предоставлять необходимые сведения, если только нарушение персональных данных вряд ли повлечет за собой риск для прав и свобод субъектов данных. Если вы решите, что вам не нужно сообщать о нарушении, вы должны иметь возможность обосновать это решение, поэтому вы должны задокументировать его.

 

Подробнее – Руководство по ICO

См. следующие разделы Руководства по GDPR Великобритании:

  • Безопасность
  • Подотчетность и управление

«Более подробное» руководство GDPR:

  • Руководство GDPR Великобритании по контрактам и обязательствам между контролерами и обработчиками

Существующее руководство DPA:

  • Шифрование
  • Практическое руководство по ИТ-безопасности: идеально подходит для малого бизнеса

Другие соответствующие инструкции:

  • Руководство по PECR
  • Уведомление о нарушениях безопасности PECR
  • Руководство по eIDAS

Структура подотчетности рассматривает ожидания ICO в отношении реагирования на утечки персональных данных и мониторинга.

 

Подробнее – Европейский совет по защите данных

Европейский совет по защите данных (EDPB), который заменил Рабочую группу по статье 29 (WP29).), включает представителей органов по защите данных каждого государства-члена ЕС. Он принимает рекомендации по соблюдению требований GDPR. Хотя Великобритания вышла из ЕС, эти рекомендации продолжают оставаться актуальными.

WP29 опубликовал следующие рекомендации, одобренные EDPB:

  • Рекомендации по уведомлению об утечке персональных данных
  • Руководство по ведущим надзорным органам
  • Ведущий надзорный орган FAQ

 

Подробнее – Агентство Европейского Союза по кибербезопасности

Агентство Европейского Союза по сетевой и информационной безопасности (ENISA) опубликовало рекомендации по методологии оценки серьезности утечек персональных данных.

Что такое утечка данных и как мне сообщить об этом в соответствии с GDPR?

Если вы случайный наблюдатель за проблемами конфиденциальности данных, вы можете предположить из новостей, что крупномасштабные утечки данных происходят каждый день. Хотя проблема может быть не такой уж широко распространенной, проблема вполне реальна.

Недавнее исследование Pew показало, что по крайней мере 64% американцев столкнулись с серьезной утечкой данных. Австралия недавно сообщила о 63 утечках данных всего за шесть недель. Взлом британского ритейлера электроники в 2018 году затронул до 10 миллионов потребителей. Очевидно, что это широко распространенная проблема, и она не исчезнет в ближайшее время.

Что такое утечка данных?

Слово «данные» охватывает большую территорию в Интернете, поэтому определить, что представляет собой утечку данных, может быть немного сложно. Общая защита данных Европейского Союза определяет нарушение персональных данных как: нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным, передаваемым, хранимым или иным образом обрабатываемым.

Имея это в виду, мы можем разумно определить утечку данных как инцидент безопасности, при котором доступ к информации осуществляется без авторизации. Публичное представление об утечке данных, как правило, связано с тем, что злоумышленники рыщут в Интернете в поисках конфиденциальной информации. Иногда это так, но нарушения также могут быть результатом человеческой ошибки или внутреннего неправильного обращения. Вышеупомянутое взлом в Великобритании, например, был работой хакеров, пытавшихся получить личную банковскую информацию, в то время как более половины случаев в Австралии были связаны с организационными ошибками. Какой бы ни была причина, эти нарушения подвергают потребителей риску и подрывают доверие между организацией и ее пользователями.

Сообщение об утечке данных

Хотя GDPR оставляет понятие утечки данных довольно широким, гораздо более конкретно о том, как с этим бороться. Статья 33 GDPR озаглавлена ​​«Уведомление надзорного органа об утечке персональных данных», и в ней недвусмысленно изложена надлежащая процедура утечки данных. Контроллеры данных должны сообщать о любом нарушении в соответствующий надзорный орган в течение 72 часов с момента получения информации об этом. Если обработчик данных обнаружит нарушение, контроллер данных должен быть уведомлен об этом без неоправданной задержки.

Уведомление надзорного органа должно содержать несколько конкретных сведений, в том числе:

  • Характер и объем утечки данных, включая, по возможности, категории данных, количество субъектов данных и количество задействованных записей персональных данных
  • Контактная информация ответственного за защиту данных организации или другого контактного лица
  • Возможные последствия нарушения
  • Что контролер намерен предпринять для устранения нарушения и ограничения угрозы для субъектов данных

Организации, которые не сообщают об утечке данных в течение отведенных 72 часов, имеют возможность объяснить причины задержки, но все равно могут столкнуться со штрафами и санкциями.

Разработка плана реагирования на утечку данных

Если и чему нас научило прошлое десятилетие истории защиты данных, так это тому, что ни одна организация не застрахована от утечки данных. Даже если вы уверены в безопасности своей компании, стоит проявить инициативу, разработав план реагирования на утечку данных до того, как она станет проблемой. Специфика вашего плана реагирования, конечно, будет варьироваться в зависимости от потребностей вашей организации, но Управление комиссара по информации Австралии составило полезный контрольный список, который служит надежным руководством для большинства. Убедитесь, что ваш план реагирования включает:

  • Определение утечки данных в вашей организации и способы ее выявления вашими сотрудниками
  • Четко определенные процедуры и цепочка подчинения для сообщения об утечке данных
  • Роли и обязанности каждого члена вашей группы реагирования на утечки данных
  • Планы обработки различных видов утечек данных с различными уровнями риска
  • Идеи для оценки успеха или неудачи ваших усилий по смягчению последствий
  • Планы уведомления затронутых субъектов данных, правоохранительных и надзорных органов о нарушении
  • Полная документация и процессы ведения учета
  • Списки ваших обязательств после нарушения по страховым полисам, соглашениям об обслуживании и любым другим контрактам с третьими сторонами
  • Планы по расследованию, выявлению и устранению любых нарушений безопасности или процедур, которые привели к утечке данных
  • Регулярные тесты и проверки вашего плана реагирования на утечки данных

Очевидно, что подготовка вашей организации к утечке данных требует большого объема работы, но эта работа того стоит.

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *