Порушення захисту даних – що потрібно знати?

У сучасному цифровому світі захист даних стає все більш важливою темою. Будь-яка організація, що обробляє персональні дані, повинна бути готова до потенційних порушень і знати, як діяти в такій ситуації. У цій статті ми обговоримо найважливіші питання, пов’язані з порушеннями захисту персональних даних у світлі RODO, на основі публікації DPA «Керівництво на підставі RODO – Обов’язки контролерів, пов’язані з порушеннями захисту персональних даних v2».

Що таке витік даних?

Порушення даних – це інцидент безпеки, який призводить до випадкового або незаконного

• знищення даних
• втрата даних
• модифікація даних
• несанкціоноване розголошення даних
• несанкціонований доступ до даних

Порушення може бути як навмисною дією (наприклад, кібератака), так і випадковою подією (наприклад, втрата носія даних). Ключовим моментом є те, що порушення стосується персональних даних, які обробляються, і може негативно вплинути на права і свободи суб’єктів даних.

Чому порушення небезпечні?

Порушення персональних даних може призвести до серйозних наслідків для суб’єктів даних, таких як

• фізична шкода
• майнова шкода (наприклад, крадіжка особистих даних, фінансове шахрайство)
• моральна шкода (наприклад, шкода репутації, психологічні страждання).

Навіть незначні на перший погляд інциденти можуть мати далекосяжні наслідки. Ось чому так важливо, щоб контролери даних належним чином реагували на будь-які порушення.

Хто відповідає за захист даних?

Основна відповідальність лежить на контролері даних, тобто на суб’єкті, який визначає цілі та способи обробки персональних даних. Саме контролер повинен впроваджувати відповідні технічні та організаційні заходи для забезпечення безпеки даних.

Важливу роль також відіграють

• Процесори – обробляють дані від імені контролера
• спеціалісти із захисту даних (DPO) – консультують та контролюють дотримання RODO.

Які обов’язки має контролер?

У контексті порушень захисту даних контролер має такі обов’язки:

1. Запобігати порушенням шляхом впровадження відповідних запобіжних заходів
2. Виявлення та ідентифікація порушень
3. Реагування на порушення:
4. Усунення порушення та мінімізація його наслідків
5. Оцінка ризиків, пов’язаних з порушенням
6. Повідомлення про порушення наглядовому органу (якщо існує ризик)
7. Повідомлення суб’єктів даних (у разі високого ризику)
8. Документування порушення

Як запобігти порушенням?

Вкрай важливо впроваджувати відповідні технічні та організаційні заходи, такі як:

• Шифрування та псевдонімізація даних
• Регулярне тестування та оцінка ефективності системи безпеки
• Навчання персоналу
• Процедури реагування на інциденти
• Контроль доступу до даних
• Резервне копіювання

Вибір заходів має ґрунтуватися на аналізі ризиків, пов’язаних з обробкою даних.

Як виявити порушення?

Адміністратори повинні впровадити системи моніторингу та виявлення інцидентів, такі як

• Системи виявлення вторгнень (IDS/IPS)
• Антивірусне програмне забезпечення
• аналіз системних журналів
• Процедури повідомлення про інциденти для персоналу

Також важливо навчити персонал розпізнавати потенційні порушення.

Що робити після виявлення порушення?

Після виявлення порушення адміністратор повинен

1. Вжити негайних заходів для припинення порушення та мінімізації його наслідків
2. Оцінити ризик для прав і свобод суб’єктів даних
3. повідомити про порушення наглядовий орган протягом 72 годин, якщо існує ризик (якщо не буде доведено, що ризик є малоймовірним)
4. Повідомляти суб’єктів даних, якщо існує високий ризик
5. Документувати порушення та вжиті заходи

Повідомлення про порушення до наглядового органу

Повідомлення Президенту DPA повинно включати

• Опис характеру порушення
• Категорії та приблизну кількість суб’єктів даних
• Можливі наслідки порушення
• Заходи, вжиті для виправлення порушення
• Контактні дані DPO або іншої контактної особи

Повідомлення можна зробити в електронному вигляді через спеціальну форму або ePUAP.

Повідомлення суб’єктів даних

У разі високого ризику контролер повинен повідомити суб’єктів даних без невиправданої затримки. Повідомлення повинно

• бути написане простою та зрозумілою мовою
• Описувати характер порушення
• містити контактні дані DPO або іншої контактної особи
• описувати можливі наслідки порушення
• Описати заходи, вжиті для усунення порушення
• містити рекомендації для окремих осіб щодо мінімізації потенційних негативних наслідків

Повідомлення може бути зроблено безпосередньо (наприклад, електронною поштою) або через публічну комунікацію.

Документування порушень

Адміністратор повинен документувати всі порушення, незалежно від того, чи було про них повідомлено. Документація повинна включати

• Обставини порушення
• його наслідки
• вжиті заходи щодо виправлення ситуації
• обґрунтування рішення про повідомлення/неповідомлення.
• Документація слугує для демонстрації дотримання вимог RODO і може бути предметом перевірки наглядовим органом.

Транскордонні порушення персональних даних

Транскордонне порушення захисту даних – це інцидент, пов’язаний з обробкою персональних даних у більш ніж одній державі-члені Європейського Союзу. Це може бути пов’язано з тим, що контролер або процесор має організаційні підрозділи в декількох країнах ЄС, або коли порушення впливає на суб’єктів даних у різних країнах-членах ЄС.

У випадку транскордонних порушень захисту даних процес звітування та управління інцидентом стає більш складним. Контролерам необхідно підтримувати зв’язок з наглядовими органами в різних країнах і враховувати відмінності в місцевих законах і процедурах. Дуже важливо швидко визначити, який контролюючий орган бере на себе ініціативу у справі, а також ефективно комунікувати між усіма залученими сторонами. Транскордонний характер порушення також може вплинути на оцінку ризиків і спосіб повідомлення суб’єктів даних, особливо коли необхідно враховувати культурні та мовні відмінності в різних країнах.

Підсумок

Належне реагування на порушення даних є ключовим для захисту прав суб’єктів даних. Це вимагає від контролерів

• Впровадження належних запобіжних заходів
• Підготовка процедур реагування на інциденти
• Оперативного реагування у випадку порушення
• Прозора комунікація з наглядовим органом та суб’єктами даних

Пам’ятайте, що метою цих заходів є насамперед захист прав і свобод громадян, а не уникнення штрафних санкцій. Відповідальний підхід до захисту даних будує довіру та мінімізує негативні наслідки потенційних порушень.

Хочете дізнатися більше?

Ознайомтеся з новим посібником DPA:

https://uodo.gov.pl/pl/138/3561

Що нового в посібнику?

Нова версія включає в себе останні тлумачення законодавства, судову практику та практичні рекомендації, які допоможуть контролерам приймати правильні рішення у випадку порушення захисту персональних даних. Вона включає, серед іншого

• оновлені процедури реагування на порушення (звітування Президенту УОДО)
• практичні приклади та тематичні дослідження
• вказівки щодо співпраці з Президентом УОДО та іншими наглядовими органами
• ключові рекомендації щодо оцінки ризиків та запобігання порушенням.