Нарушения защиты данных — что нужно знать?

В современном цифровом мире защита данных становится все более важной темой. Любая организация, обрабатывающая персональные данные, должна быть готова к возможным нарушениям и знать, как действовать в такой ситуации. В этой статье мы обсудим наиболее важные вопросы, связанные с нарушениями защиты персональных данных в свете RODO, основываясь на публикации DPA «Руководство по основаниям RODO — обязательства контролеров в связи с нарушениями защиты персональных данных v2».

Что такое утечка данных?

Нарушение данных — это инцидент безопасности, который приводит к случайному или незаконному

• уничтожению данных
• потере данных
• изменению данных
• несанкционированное раскрытие данных
• несанкционированный доступ к данным.

Нарушение может быть как преднамеренным действием (например, кибератака), так и случайным событием (например, потеря носителя данных). Главное, чтобы нарушение касалось обрабатываемых персональных данных и могло негативно повлиять на права и свободы субъектов данных.

Почему нарушения опасны?

Нарушение персональных данных может привести к серьезным последствиям для субъектов данных, таким как:

• физический ущерб
• имущественный ущерб (например, кража личных данных, финансовое мошенничество)
• нематериальный ущерб (например, ущерб репутации, психологический стресс).

Даже незначительные на первый взгляд инциденты могут иметь далеко идущие последствия. Вот почему контролерам данных так важно правильно реагировать на любые нарушения.

Кто несет ответственность за защиту данных?

Основную ответственность несет контролер данных, то есть организация, определяющая цели и способы обработки персональных данных. Именно контролер должен применять соответствующие технические и организационные меры для обеспечения безопасности данных.

Важную роль также играют:

• Процессоры — обрабатывают данные от имени контроллера.
• сотрудники по защите данных (DPO) — консультируют и контролируют соблюдение RODO.

Каковы обязательства контролера?

В контексте нарушений защиты данных контроллер имеет следующие обязательства:

1. Предотвращение нарушений путем внедрения соответствующих мер предосторожности
2. Обнаружение и идентификация нарушений
3. Реагировать на нарушения:
4. Устранение нарушения и минимизация его последствий
5. Оценка рисков, связанных с нарушением
6. Уведомление о нарушении контролирующего органа (при наличии риска)
7. Уведомление субъектов данных (при высоком риске)
8. Документирование нарушения

Как предотвратить утечку информации?

Очень важно применять соответствующие технические и организационные меры, такие как:

• шифрование и псевдонимизация данных
• регулярное тестирование и оценка эффективности системы безопасности
• обучение персонала
• Процедуры реагирования на инциденты
• Контроль доступа к данным
• Резервное копирование

Выбор мер должен основываться на анализе рисков, связанных с обработкой данных.

Как обнаружить нарушения?

Администраторы должны внедрить системы мониторинга и обнаружения инцидентов, такие как:

• Системы обнаружения вторжений (IDS/IPS)
• антивирусное программное обеспечение
• Анализ системных журналов
• Процедуры, позволяющие сотрудникам сообщать об инцидентах.

Также важно обучить персонал распознавать потенциальные нарушения.

Что нужно сделать после обнаружения нарушения?

После обнаружения нарушения администратор должен:

1. Принять немедленные меры, чтобы остановить нарушение и минимизировать его последствия
2. Оценить риск для прав и свобод субъектов данных
3. Сообщить о нарушении в надзорный орган в течение 72 часов, если существует риск (если только не будет доказано, что риск маловероятен)
4. Уведомить субъектов данных, если существует высокий риск
5. Документировать факт нарушения и предпринятые действия

Уведомление о нарушениях в надзорный орган

Уведомление, направляемое президенту DPA, должно содержать:

• описание характера нарушения
• Категории и приблизительное количество субъектов данных
• Возможные последствия нарушения
• Меры, принятые для устранения нарушения
• Контактные данные DPO или другого контактного лица.

Уведомление может быть подано в электронном виде через специальную форму или ePUAP.

Уведомление субъектов данных

В случае высокого риска контролер должен уведомить субъектов данных без неоправданной задержки. Уведомление должно:

• быть написано простым и понятным языком
• Описывать характер нарушения
• содержать контактную информацию DPO или другого контактного лица
• Описывать возможные последствия нарушения
• Описывать меры, принятые для устранения нарушения
• Включить рекомендации для отдельных лиц по минимизации потенциальных негативных последствий.

Уведомление может быть сделано напрямую (например, по электронной почте) или через публичное сообщение.

Документирование нарушений

Администратор должен документировать все нарушения, независимо от того, подлежат ли они сообщению. Документация должна включать:

• обстоятельства нарушения
• его последствия
• Принятые меры по устранению нарушений
• Обоснование решений об уведомлении/неуведомлении.
• Документация служит доказательством соблюдения RODO и может быть предметом проверки со стороны надзорного органа.

Трансграничные нарушения персональных данных

Трансграничное нарушение защиты данных — это инцидент, связанный с обработкой персональных данных в более чем одном государстве-члене Европейского союза. Это может быть связано с тем, что контроллер или обработчик имеет организационные подразделения в нескольких странах ЕС, или с тем, что нарушение затрагивает субъектов данных в разных государствах-членах ЕС.

В случае трансграничных нарушений защиты данных процесс информирования и управления инцидентом становится более сложным. Контролерам необходимо взаимодействовать с надзорными органами в разных странах и учитывать различия в местных законах и процедурах. Очень важно быстро определить, какой надзорный орган является ведущим в том или ином случае, и обеспечить эффективное взаимодействие между всеми заинтересованными сторонами. Трансграничный характер нарушения может также повлиять на оценку рисков и способ уведомления субъектов данных, особенно если необходимо учитывать культурные и языковые различия в разных странах.

Резюме

Надлежащее реагирование на утечки данных является ключевым фактором защиты прав субъектов данных. Для этого контролеры должны:

• Внедрение соответствующих гарантий
• Подготовить процедуры реагирования на инциденты
• Оперативные действия в случае нарушения
• Прозрачная коммуникация с контролирующим органом и субъектами данных

Давайте помнить, что цель этих мер — прежде всего защита прав и свобод людей, а не избежание штрафов. Ответственный подход к защите данных укрепляет доверие и минимизирует негативные последствия возможных нарушений.

Хотите узнать больше?

Ознакомьтесь с новым руководством DPA:

https://uodo.gov.pl/pl/138/3561

Что нового в руководстве?

Новая версия включает в себя последние интерпретации законодательства, прецедентное право и практические рекомендации, которые помогут контролерам принять правильные решения в случае нарушения защиты данных. Она включает, в частности:

• обновленные процедуры реагирования на нарушения (сообщение президенту UODO);
• практические примеры и тематические исследования;
• рекомендации по взаимодействию с Президентом UODO и другими надзорными органами;
• основные рекомендации по оценке рисков и предотвращению нарушений.