В 2022 году тема данные нарушения, или нарушение личных данных, и многие другие вопросы, связанные с конфиденциальностью пользователей сети. И последнее, но не менее важное известие о том, что Гарант конфиденциальности запретил использование Google Analytics в Италии..
Учитывая широкую известность, которую вызвала эта тема, в этой статье мы рассмотрим, что данные нарушения и как себя вести, когда она жертва. Чтобы наши клиенты были готовы на тот случай, если с ними это случится.
Что означает нарушение данных?
С термином данные нарушения Под нарушением безопасности понимается «которое влечет за собой — случайное или незаконное — уничтожение, потерю, модификацию, несанкционированное раскрытие или доступ к личным данным, передаваемым, хранимым или иным образом обрабатываемым».1
Другими словами, кто является жертвой данные нарушения рискуют столкнуться с нарушением конфиденциальности и даже доступа к своим данным. Примеры включают захват данных неавторизованными третьими лицами, кражу данных и невозможность доступа к данным из-за внешних атак и вредоносных программ.
Что делать в случае утечки данных?
Действующее законодательство, регулирующее нарушения персональных данных, является Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г.
Согласно документу, субъект, пострадавший данные нарушения, будь то государственное учреждение, компания, ассоциация или профессионал, должен уведомить о причиненном ущербе в течение 72 часов с момента, когда ему стало известно об этом факте. Здесь, однако, необходимо провести первое различие.
Возможный данные нарушения, на самом деле, он всегда должен быть зарегистрирован, но должен быть уведомлен Гарантом конфиденциальности только в том случае, если он связан с реальным риском для прав и свобод людей. Однако в любом случае необходимо уведомить контролера данных или лицо, чьи данные были скомпрометированы.
В случае, если вы решите уведомить, Гаранту потребуется некоторая информация:
- характер нарушения;
- количество пострадавших;
- контактные данные уполномоченного по защите данных;
- каковы возможные последствия нарушения;
- какие меры предприняли контролеры данных.
Это полезная информация для проверки любой ответственности и установления динамики событий, и ее важно предоставить даже позже. Кто страдает данные нарушения, на самом деле, это должно доказать подотчетность.
Подотчетность
Этот английский термин переводится буквально обязанность, но оно передает несколько иное значение, чем то, как мы его обычно понимаем. Наиболее правильным переводом, употребляемым в основном в юридической сфере, будет «уметь дать отчет».
Поэтому менеджер данных должен быть в состоянии предоставить доказательства, демонстрирующие, что он действовал правильно и что он способен управлять ситуацией. По сути, необходимо продемонстрировать, что были реализованы все минимальные меры, необходимые для защиты данных, исходя из риска, который может возникнуть в результате возможного данные нарушения.
На практике принцип подотчетность основывается на трех концепциях:
- там прозрачность: компания должна разрешить доступ ко всей имеющейся в ее распоряжении информации;
- там возможность демонстрации выполненных действий: чтобы можно было убедиться, что все необходимые меры безопасности были приняты;
- там согласие: способность обеспечивать соблюдение внутренних законов и правил внутри компании.
О каких нарушениях необходимо сообщать?
Как уже упоминалось, не обо всех нарушениях персональных данных необходимо обязательно уведомлять Гаранта. Только я данные нарушения которые могут иметь последствия для отдельных лиц в виде физического, материального или нематериального ущерба.
Однако эту ситуацию необходимо тщательно проанализировать, прежде чем принимать решение об отказе в уведомлении. В ходе проверки Гарант действительно захочет узнать причины такого выбора и продемонстрировать, что данные нарушения вопрос не подлежит уведомлению не простая вещь. Поэтому, чтобы продемонстрировать подотчетность, важно в максимально возможной степени следовать процедуре устранения утечек персональных данных.
Что происходит дальше?
Если вы понимаете, что пострадали данные нарушения, Гарант конфиденциальности предоставил форму для заполнения (по этому адресу https://servizi.gpdp.it/databreach/s/) и отправить в электронном виде.
После получения уведомления орган проверяет, что произошло, и оценивает, были ли какие-либо нарушения и ответственность со стороны компании. Предусмотренные финансовые штрафы очень высоки и могут достигать 10 миллионов евро или, в случае компаний, до 2% от их общего оборота.
Для тех, кто хочет узнать больше, на том же сайте также доступны рекомендации по уведомлению об утечке персональных данных и некоторые соответствующие примеры. Вот ссылки: