GDPR та data breach. Що робити, якщо стався витік даних?
Звучить страшно, еге ж? Стикались чи не стикались ви з цим, в будь-якому випадку рекомендуємо прочитати цю невелику інструкцію з GDPR та data breach. Зайвим тооочно не буде! 🙂
Що таке витік даних? GDPR визначає це як “порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних, що передаються, зберігаються і обробляються іншим способом”.
В цілому, розрізняють три типи data breach:
- “Порушення конфіденційності” – відбувається несанкціоноване або випадкове розголошення або доступ до персональних даних.
- “Порушення цілісності” – відбувається несанкціонована або випадкова зміна персональних даних.
- “Порушення доступності” – відбувається випадкова або несанкціонована втрата доступу або знищення персональних даних.
Втім, витік даних може поєднувати і всі три типи.
Що ж саме на практиці вважається витоком даних?
Це може включати наступні ситуації:
- доступ до персональних даних третьою стороною, яка не мала на це право;
- навмисна або випадкова дія (або бездіяльність) контролера або процесора, що призвела до отримання доступу третім сторонам;
- надсилання персональних даних неправильному отримувачу;
- зміна персональних даних без дозволу;
- втрата доступу до персональних даних тощо.
Процес реакції компанії в разі витоку даних варто розділити на два етапи: підготовчий та основний.
Підготовчий етап.
Процес підготовки є надзвичайно важливий, адже дозволить компанії вчасно відреагувати на непередбачувані ситуації та вжити всіх необхідних дій. Зокрема, потрібно дати відповідь на наступні питання:
- Ви знаєте як розпізнати витік даних;
- Ви підготували план реагування на усунення будь-яких порушень щодо витоку персональних даних;
- Ви призначили відповідальну особу за управління порушеннями;
- Всі співробітники компанії знають як та кому потрібно передати інформацію про витік даних;
- У вас є процес оцінки ймовірного ризику для людей внаслідок порушення;
- Ви знаєте хто є відповідальним наглядовим органом;
- Ви знаєте строки для повідомлення про витік даних та вид інформації, яку треба зазначити;
- Ви знаєте процес інформування постраждалих осіб.
Витік даних – справа серйозна. Не потрібно нехтувати організаційно-технічними заходами безпеки та підготовкою до таких ситуацій. Готуй сани влітку, а воза взимку, як то кажуть.
Основний етап.
Під основним етапом розуміються дії, які необхідно вжити після того, як стався витік даних. То що ж робити, коли вже стався витік даних? Робоча група 29 (WP29) в своєму гайдлайні прописує певні кроки для вирішення такої проблеми. Зокрема наголошується, що компанія повинна вжити наступні дії:
- Інформація про всі події, пов’язані з безпекою, повинна бути спрямована на відповідальну особу або осіб, котрі мають завдання вирішити випадки, встановити факт порушення та оцінити ризик.
- Потім слід оцінити ризик для людей внаслідок порушення, проінформувавши відповідні розділи організації.
- Повідомити контролюючий орган та осіб, в яких порушили право, якщо потрібно.
- У той же час контролер повинен діяти, щоб стримати та відновити порушення.
- Задокументувати дії.
Насамперед потрібно звернути на вимоги GDPR при витік даних щодо повідомлення контролюючого органу про таку ситуацію. Про порушення слід повідомити без зайвої затримки, але не пізніше ніж через 72 години після того, як була отримана інформація. Час може бути довшим, якщо на це є обгрунтовані причини затримки. А яку інформацію потрібно вказати відповідному органу? Стаття 33 GDPR зазначає, що якнайменше, наступні дані повинні надаватись:
- Характер порушення персональних даних, включаючи, де це можливо, категорії та приблизну кількість зацікавлених суб’єктів даних, а також категорії та приблизну кількість відповідних записів персональних даних;
- Ім’я та контактні дані працівника з питань захисту даних (Data Protection Officer) або іншого контакту, який зможе надати більше інформації;
- Ймовірні наслідки порушення персональних даних;
- Заходи, вжиті або запропоновані вжити контролером для усунення порушення персональних даних, включаючи, де це доцільно, заходи щодо пом’якшення можливих негативних наслідків.
В цій статті вказано, що контролер “повинен щонайменше” надавати цю інформацію із повідомленням. Тому, за необхідності можна додати й інші деталі. Різні типи порушень можуть вимагати надання додаткової інформації для повного пояснення обставин кожного випадку. Наприклад, можна також вказувати контактні дані процесорів.
Варто зазначити, що особа, якій належать дані, не повідомляється, лише якщо контролер доклав достатніх зусиль для унеможливлення порушення її прав, має належну систему захисту даних (наприклад, шифрування). Якщо не повідомити про порушення, це може призвести до значного штрафу: до 10 мільйонів євро або 2 відсотків від світового обороту компанії.
Щодо шифрування, то можна застосовувати два варіанти:
1) Шифрування фізичного носія, на якому зберігаються дані, наприклад, жорсткого диска комп’ютера або мікросхем пам’яті в смартфоні;
2) Шифрування власне фактичних даних.
Варто зауважити, що існує значно більше нюансів, які варто взяти до уваги у випадку data breach. Не дарма ж Робоча група 29 випустиа гайдлайн на 30 сторінок, в якому детально описує важливі моменти. Втім, цілком нормально, якщо в компанії виникають питання щодо правильного врегулювання data breach. Найкраще проконсультуватись з юристами. Вони врахують специфіку вашого бізнесу та нададуть правову допомогу під ключ. Звертайтесь 🙂