Месяц: Март 2025

В современном цифровом мире защита данных становится все более важной темой. Любая организация, обрабатывающая персональные данные, должна быть готова к возможным нарушениям и знать, как действовать в такой ситуации. В этой статье мы обсудим наиболее важные вопросы, связанные с нарушениями защиты персональных данных в свете RODO, основываясь на публикации DPA «Руководство по основаниям RODO — обязательства контролеров в связи с нарушениями защиты персональных данных v2».

Что такое утечка данных?

Нарушение данных — это инцидент безопасности, который приводит к случайному или незаконному

• уничтожению данных
• потере данных
• изменению данных
• несанкционированное раскрытие данных
• несанкционированный доступ к данным.

Нарушение может быть как преднамеренным действием (например, кибератака), так и случайным событием (например, потеря носителя данных). Главное, чтобы нарушение касалось обрабатываемых персональных данных и могло негативно повлиять на права и свободы субъектов данных.

Почему нарушения опасны?

Нарушение персональных данных может привести к серьезным последствиям для субъектов данных, таким как:

• физический ущерб
• имущественный ущерб (например, кража личных данных, финансовое мошенничество)
• нематериальный ущерб (например, ущерб репутации, психологический стресс).

Даже незначительные на первый взгляд инциденты могут иметь далеко идущие последствия. Вот почему контролерам данных так важно правильно реагировать на любые нарушения.

Кто несет ответственность за защиту данных?

Основную ответственность несет контролер данных, то есть организация, определяющая цели и способы обработки персональных данных. Именно контролер должен применять соответствующие технические и организационные меры для обеспечения безопасности данных.

Важную роль также играют:

• Процессоры — обрабатывают данные от имени контроллера.
• сотрудники по защите данных (DPO) — консультируют и контролируют соблюдение RODO.

Каковы обязательства контролера?

В контексте нарушений защиты данных контроллер имеет следующие обязательства:

1. Предотвращение нарушений путем внедрения соответствующих мер предосторожности
2. Обнаружение и идентификация нарушений
3. Реагировать на нарушения:
4. Устранение нарушения и минимизация его последствий
5. Оценка рисков, связанных с нарушением
6. Уведомление о нарушении контролирующего органа (при наличии риска)
7. Уведомление субъектов данных (при высоком риске)
8. Документирование нарушения

Как предотвратить утечку информации?

Очень важно применять соответствующие технические и организационные меры, такие как:

• шифрование и псевдонимизация данных
• регулярное тестирование и оценка эффективности системы безопасности
• обучение персонала
• Процедуры реагирования на инциденты
• Контроль доступа к данным
• Резервное копирование

Выбор мер должен основываться на анализе рисков, связанных с обработкой данных.

Как обнаружить нарушения?

Администраторы должны внедрить системы мониторинга и обнаружения инцидентов, такие как:

• Системы обнаружения вторжений (IDS/IPS)
• антивирусное программное обеспечение
• Анализ системных журналов
• Процедуры, позволяющие сотрудникам сообщать об инцидентах.

Также важно обучить персонал распознавать потенциальные нарушения.

Что нужно сделать после обнаружения нарушения?

После обнаружения нарушения администратор должен:

1. Принять немедленные меры, чтобы остановить нарушение и минимизировать его последствия
2. Оценить риск для прав и свобод субъектов данных
3. Сообщить о нарушении в надзорный орган в течение 72 часов, если существует риск (если только не будет доказано, что риск маловероятен)
4. Уведомить субъектов данных, если существует высокий риск
5. Документировать факт нарушения и предпринятые действия

Уведомление о нарушениях в надзорный орган

Уведомление, направляемое президенту DPA, должно содержать:

• описание характера нарушения
• Категории и приблизительное количество субъектов данных
• Возможные последствия нарушения
• Меры, принятые для устранения нарушения
• Контактные данные DPO или другого контактного лица.

Уведомление может быть подано в электронном виде через специальную форму или ePUAP.

Уведомление субъектов данных

В случае высокого риска контролер должен уведомить субъектов данных без неоправданной задержки. Уведомление должно:

• быть написано простым и понятным языком
• Описывать характер нарушения
• содержать контактную информацию DPO или другого контактного лица
• Описывать возможные последствия нарушения
• Описывать меры, принятые для устранения нарушения
• Включить рекомендации для отдельных лиц по минимизации потенциальных негативных последствий.

Уведомление может быть сделано напрямую (например, по электронной почте) или через публичное сообщение.

Документирование нарушений

Администратор должен документировать все нарушения, независимо от того, подлежат ли они сообщению. Документация должна включать:

• обстоятельства нарушения
• его последствия
• Принятые меры по устранению нарушений
• Обоснование решений об уведомлении/неуведомлении.
• Документация служит доказательством соблюдения RODO и может быть предметом проверки со стороны надзорного органа.

Трансграничные нарушения персональных данных

Трансграничное нарушение защиты данных — это инцидент, связанный с обработкой персональных данных в более чем одном государстве-члене Европейского союза. Это может быть связано с тем, что контроллер или обработчик имеет организационные подразделения в нескольких странах ЕС, или с тем, что нарушение затрагивает субъектов данных в разных государствах-членах ЕС.

В случае трансграничных нарушений защиты данных процесс информирования и управления инцидентом становится более сложным. Контролерам необходимо взаимодействовать с надзорными органами в разных странах и учитывать различия в местных законах и процедурах. Очень важно быстро определить, какой надзорный орган является ведущим в том или ином случае, и обеспечить эффективное взаимодействие между всеми заинтересованными сторонами. Трансграничный характер нарушения может также повлиять на оценку рисков и способ уведомления субъектов данных, особенно если необходимо учитывать культурные и языковые различия в разных странах.

Резюме

Надлежащее реагирование на утечки данных является ключевым фактором защиты прав субъектов данных. Для этого контролеры должны:

• Внедрение соответствующих гарантий
• Подготовить процедуры реагирования на инциденты
• Оперативные действия в случае нарушения
• Прозрачная коммуникация с контролирующим органом и субъектами данных

Давайте помнить, что цель этих мер — прежде всего защита прав и свобод людей, а не избежание штрафов. Ответственный подход к защите данных укрепляет доверие и минимизирует негативные последствия возможных нарушений.

Хотите узнать больше?

Ознакомьтесь с новым руководством DPA:

https://uodo.gov.pl/pl/138/3561

Что нового в руководстве?

Новая версия включает в себя последние интерпретации законодательства, прецедентное право и практические рекомендации, которые помогут контролерам принять правильные решения в случае нарушения защиты данных. Она включает, в частности:

• обновленные процедуры реагирования на нарушения (сообщение президенту UODO);
• практические примеры и тематические исследования;
• рекомендации по взаимодействию с Президентом UODO и другими надзорными органами;
• основные рекомендации по оценке рисков и предотвращению нарушений.

MiCA и польские правила — кого затронут новые правила?

MiCA (Markets in Crypto-Assets Regulation) вводит единые правила для рынка криптоактивов в Европейском Союзе. Новые правила распространяются как на эмиссию токенов, так и на деятельность поставщиков услуг криптоактивов (CASPs — Crypto-Asset Service Providers).

На практике это означает, что организации, предлагающие криптоактивы населению или управляющие торговыми платформами , должны будут соблюдать определенные требования к лицензированию и прозрачности.

На кого распространяется действие MiCA?

Согласно MiCA, поставщик криптоактивных услуг — это юридическое лицо или компания, профессионально предоставляющая клиентам услуги, связанные с криптовалютами. Для легальной работы любая такая организация должна получить лицензию CASP, которая в Польше будет выдаваться польским Управлением финансового надзора (KNF).

Положение выделяет 10 категорий криптоуслуг. Криптовалютные услуги регулируются статьей 3(1)(16) MiCA, такие как:

• обеспечение хранения и администрирования криптоактивов от имени клиентов;
• управление торговой платформой для криптоактивов;
• обмен криптоактивов на наличные деньги;
• обмен криптоактивов на другие криптоактивы;
• выполнение заказов, связанных с криптоактивами, от имени клиентов;
• размещение криптоактивов;
• прием и передача ордеров, связанных с криптоактивами, от имени клиентов;
• консультирование по криптоактивам;
• управление портфелем криптоактивов;
• предоставление услуг по переводу криптоактивов от имени клиентов;

Любая организация, предоставляющая хотя бы одну из вышеперечисленных услуг , должна соответствовать новым правилам MiCA.

MiCA и польский криптовалютный рынок — основные изменения

До сих пор польский криптовалютный рынок функционировал в отсутствие специальных отраслевых правил. Единственным требованием было зарегистрироваться в реестре деятельности виртуальных валют и соблюдать закон о ПОД/ФТ.

Как только начнет действовать MiCA, ситуация кардинально изменится:

✅ FSC получит все полномочия по надзору за криптовалютными биржами, криптобюро и кастодиальными компаниями,

✅ Обязанность получения лицензии CASP — нелицензированная деятельность станет незаконной после переходного периода,

✅ Введение требований к капиталу — €50 тыс. или €125 тыс. или €150 тыс. для поставщиков услуг криптоактивов.

✅ Необходимость внедрения систем управления рисками, аудита и соблюдения требований.

Для польских компаний это означает необходимость соответствовать строгим требованиям или закрывать операции. Также возможно ускорение процесса консолидации рынка — мелкие игроки могут быть поглощены более крупными компаниями.

Готова ли Польша к MiCA?

Законопроект Польши о рынке криптоактивов по сути повторяет MiCA, приводя национальное законодательство в соответствие с новыми правилами ЕС, однако возможные законодательные задержки могут привести к хаосу в регулировании.

📌 Переходный период — Польша сократила переходный период до конца июня 2025 года, и поэтому должна была внедрить соответствующее законодательство до 30 декабря 2024 года, чтобы эффективно сократить «льготный период» ЕС.

📌 Риск оттока компаний — поскольку в Польше все еще невозможно подать заявку на получение лицензии, криптовалютные компании могут переехать в другие страны ЕС, где соответствующие процедуры уже внедряются.

Резюме — как подготовить компанию к MiCA?

MiCA означает революцию для криптовалютного рынка в Польше. Любая компания, работающая в этом секторе, должна как можно скорее:

✅ Проверить, попадает ли она под действие MiCA и какие лицензии ей необходимо получить,

✅ Подготовиться к реализации организационных и капитальных требований,

✅ Следите за развитием законодательства и адаптируйтесь к новым нормам,

✅ рассмотреть возможность обращения за юридической помощью в процессе лицензирования CASP.

Несоблюдение новых правил приведет к тому, что ваш бизнес придется прекратить или перенести в другую страну ЕС.

Если вы ведете бизнес, связанный с криптовалютным рынком, свяжитесь с нами прямо сейчас, чтобы подготовиться к изменениям!