Як працювати з інцидентом у безпеці даних відповідно до LGPD
У наших попередніх статтях ми вже звертали вашу увагу на бразильське законодавство про захист даних, яке дуже схоже на Загальний регламент захисту даних (GDPR). Південна Америка є однією з найперспективніших юрисдикцій для зростання в найближчому майбутньому, оскільки тут величезна кількість населення і, в той же час, ринок ІТ-послуг не переповнений. Таким чином, якщо ви обробляєте дані бразильців або розглядаєте цей ринок як один із регіонів, де ви хочете продавати послуги, ви обов’язково повинні знати про нові правила щодо обробки даних, які підготувала ANPD (Autoridade Nacional de Proteção de Dados): національний орган захисту даних у Бразилії.
Що нового?
ANPD оновила вказівки щодо повідомлення регулятора про інцидент у безпеці даних відповідно до LGPD. Крім того, ANPD поділився новою формою, яка повинна використовуватися для надсилання звітів про інциденти у безпеці контролером даних. Наглядовий орган підкреслює, що нова форма полегшує її заповнення контролерам даних і є кращою для аналізу інциденту у безпеці інспекторами ANPD. Нова форма почала використовуватися з 1 січня 2023 року. Ви можете ознайомитися з прес-релізом та завантажити нову форму за посиланням.
Що таке інцидент у безпеці даних згідно з LGPD?
Стаття 47 LGPD вказує, що “Контролер (володілець) повинен повідомляти національний орган влади та власника про виникнення інциденту з безпекою, який може призвести до значного ризику або збитку для власників». Отже, будь-яка ситуація (порушення або витік даних, шахрайська діяльність, несанкціоноване розкриття персональних даних), яка може призвести до ризику для суб’єктів даних, повинна розглядатися як інцидент у безпеці даних відповідно до LGPD. Що ANPD каже про інциденти у безпеці даних?
«Це підтверджена несприятлива подія, яка порушує конфіденційність, цілісність або доступність персональних даних. Це може бути результатом умисних або необережних дій, які призводять до розголошення, зміни, невиправданої втрати або несанкціонованого доступу до персональних даних, незалежно від способів, у які вони зберігаються. Інциденти можуть статися випадково, як-от надсилання інформації невірному одержувачу, або в результаті навмисних дій, як-от вторгнення в інформаційну систему чи викрадення пристрою зберігання даних. Інциденти безпеки не обмежуються порушенням конфіденційності, вони також охоплюють випадки втрати або недоступності персональних даних. Прикладами інцидентів безпеки є викрадення даних (програмне забезпечення-вимагач), несанкціонований доступ до даних, що зберігаються в інформаційних системах, і ненавмисна публікація персональних даних.”
Як має надсилатися форма?
Зазначену форму мають заповнювати лише контролери/володільці даних (а не обробники/розпорядники даних), але обробники даних повинні інформувати контролерів даних про будь-які інциденти у безпеці даних. Крім того, представник компанії або уповноважена особа із захисту персональних даних може надіслати цей звіт від імені контролера даних. Форми повинні бути подані через сайт Єдиної електронної технологічної мережі (Single Electronic Process Network System) протягом 2 робочих днів після того, як компанії стало відомо про інцидент.
Що міститься у формі?
Нова форма містить такі розділи, які заповнюються контролером даних:
- Контактна інформація, інформація про компанію;
- Інформація про уповноваженого компанією фахівця із захисту даних (data protection officer);
- Інформація про законного представника компанії;
- Вид повідомлення (повне, попереднє, додаткове);
- Оцінка ризиків інциденту (чи може інцидент спричинити за собою відповідний ризик або шкоду суб’єктам даних);
При оцінці ризику інциденту слід враховувати наступне, серед інших аспектів:
— Контекст діяльності з обробки даних;
— Категорії та кількість постраждалих суб’єктів даних;
— Типи та обсяг даних, які було розкрито, змінено або викрадено;
— Потенційні матеріальні, моральні та репутаційні збитки, завдані контролерові і суб’єктові даних;
— Чи були персональних дані захищені таким чином, що неможливо було ідентифікувати їх власників (наприклад, за допомогою псевдонімізації);
— Заходи пом’якшення наслідків, вжиті контролером даних після виявлення інциденту.
- Інформація про виникнення інциденту (яким чином компанії стало відомо про інцидент);
- Час інциденту (коли він стався, коли компанії стало відомо, коли компанія повідомила про це ANPD і суб’єктові даних);
- Інформація про повідомлення суб’єктові даних щодо інциденту у безпеці;
- Опис інциденту (тип інциденту, короткий опис того, що сталося, першопричина, які були вжиті заходи для усунення інциденту);
- Вплив інциденту на персональні дані (як інцидент впливає на персональні дані, які категорії персональних даних зазнали впливу);
- Ризики та наслідки для суб’єктів даних (кількість осіб, яких це стосується, категорії осіб, яких це стосується, ймовірний вплив та наслідки для особи);
- Заходи безпеки для захисту персональних даних (шифрування даних, резервне копіювання, брандмауери тощо).
Як повідомити суб’єктів даних (осіб, яких ідентифікують ці дані)?
Повідомлення має бути здійснено якнайшвидше, якщо контролер вважає, що інцидент може спричинити серйозний ризик або завдати шкоди суб’єктам даних. Це дозволяє постраждалим пом’якшити несприятливий вплив, спричинений інцидентом. Комунікація повинна здійснюватися індивідуально та безпосередньо з постраждалими, коли це можливо. Це може бути здійснено будь-яким способом, таким як електронна пошта, SMS, лист або інші електронні повідомлення. Якщо, незважаючи на факт підтвердження інциденту, не вдалося індивідуалізувати постраждалих, тоді може знадобитися повідомити всіх, чиї дані присутні в викраденій базі даних (наприклад, шляхом прес-релізу). У виняткових випадках і в обґрунтованому порядку непряме повідомлення може здійснюватися шляхом публікації в засобах масової інформації. Носій, який використовується, повинен охопити якомога більше постраждалих, а розкриттю інформації про інцидент слід приділити належну увагу.
Повідомлення для постраждалих має містити принаймні наступне:
- Короткий зміст і дату виникнення інциденту;
- Опис персональних даних, на які поширюється небезпека;
- Ризики та інші наслідки для суб’єктів даних;
- Заходи, вжиті контролером, і заходи, які постраждалі повинні вжити для пом’якшення наслідків інциденту, якщо це можливо; і
- Контактні дані DPO контролера, щоб постраждалі могли запросити додаткову інформацію щодо інциденту.
Що робить ANPD з повідомленням про інцидент у безпеці?
Серйозність інциденту враховуватиметься під час визначення пріоритетності аналізу отриманих повідомлень про інциденти. Якщо контролер уже повідомив суб’єктів даних про настання інциденту та після аналізу не виявлено порушень LGPD або необхідності вжиття додаткових заходів, процес буде завершено. Якщо повідомлення власникам не було зроблено або вважається зробленим неправильно, то може призначатися виправлення за формою чи змістом. Якщо необхідно, контролер може застосувати додаткові заходи для пом’якшення наслідків інциденту, наприклад, його розкриття інформації про нього у медіа. Запобіжні заходи або покарання можуть бути застосовані, серед інших ситуацій, у тих випадках, коли контролер:
- Не повідомляє про інцидент ANPD у розумний час;
- Не повідомляє про інцидент постраждалим особам;
- Не вживає заходів безпеки, що могли б знизити ризики при обробці персональних даних.
Висновки
Після цього оновлення бразильське законодавство про захист даних стає більш прозорим і зрозумілим. Таким чином, правила мають чіткі межі та обсяги інформації, які потрібно заповнити, що полегшить дії компаній-контролерів у стресових ситуаціях.
Якщо ви не хочете, щоб ваша компанія зіткнулася з фінансовими санкціями, вам слід розглянути можливість впровадження нових процедур сповіщення про інциденти безпеки у ваші процеси.
А якщо вам потрібна допомога щодо дотримання вимог LGPD (або інших законів про захист даних), надішліть нам електронного листа 🙂
2023-02-23