Як поводитися у разі порушення даних?

Перш за все, не панікуйте і завжди тримайте при собі рушник.

Нарешті це сталося. У вашій системі була помилка, і хтось скористався нею, щоб виконати те, що на жаргоні називається a Дані порушення. Порушення персональних даних. Не хвилюйтеся, це не незвичайне явище. Найщасливіші стикаються з такою випадковістю рідше одного разу на рік, але у світі, який розвивається так само швидко, як Інтернет, може статися, що така ситуація стає набагато частішою. Хоча ви намагаєтеся не панікувати, ми радимо вам дотримуватися основного правила: щоб усунути порушення, ви повинні дотримуйтеся вказівок Європейського регламенту 16/679 (GDPR), який пропонує вказівки щодо того, що робити, якщо сталося порушення даних.

Що таке порушення даних?

Порушення персональних даних є 6 типів, і кожен з них може бути добровільним або випадковим залежно від того, чому це сталося:

• Несанкціонований доступ. Хтось не міг отримати доступ до певної інформації, але він був. Якщо це була помилка, можливо, ви надіслали важливий документ одній особі, а не іншій. Це був нещасний випадок, але все одно є витоком даних. Однак у випадку, якщо ви зробили несанкціонований доступ до чиїхось даних, ця подія може стати шпигунство.
• Неавторизована копія. Хтось взяв якісь дані, які їм не належать, і скопіював їх собі. Це може бути нещасним випадком, якщо колега вирішив надрукувати документ, який йому не слід було мати, щоб краще скласти робочий документ. У разі добровільного копіювання для менш зрозумілих цілей це може бути крадіжка.
• Несподіване розкриття. Хтось випадково злив дані, які з будь-якої причини не повинні бути онлайн. Наприклад, фотографія важливого клієнта опублікована на профілі компанії у Facebook. У разі шахрайства ця операція викликається поширення.
• Несанкціонована модифікація. Хтось змінив деякі дані, хоча не міг цього зробити. Якщо це сталося помилково, це все. Інакше могло бути підробка хакером або зловмисником.
• Втрата доступу. Хтось втрачає інформацію, і вона стає недоступною. Забутий пароль комп’ютера є порушенням, чи знаєте ви про це? А якщо це було зроблено навмисно, воно стає шифрування.
• Видалення даних. Хтось видаляє конфіденційні дані. Якщо це сталося помилково, то це порушення. Але якщо скасування є добровільним, це тягне за собою знищення даних.

Порушення персональних даних: як поводитися?

Зверніться до статей 33 і 34 GDPR. Ці дві статті посилаються на європейський регламент, який прагне вказати процедури, яких слід дотримуватися у разі порушення даних. Стаття 33 стосується внутрішнього управління компанією та відносин з Гарантом, тоді як стаття 34 стосується управління із зацікавленими сторонами або людьми, чиї особисті дані ми маємо.

Важливо це уточнити порушення даних має бути завжди зафіксовано e, у випадку, повідомленому Гаранту як зазначено в статті 33. Тут також сказано, що у разі порушення контролер даних повинен повідомити наглядові органи протягом 72 годин після того, як йому стало відомо, особливо якщо це становить ризик для прав і свобод фізичних осіб. Обробники даних (фірма, що нараховує заробітну плату, бухгалтер, системні аналітики…) повинні повідомити контролера даних.

Якщо ви вирішите повідомити Гаранта, йому потрібна інформація: характер порушення, кількість залучених людей, дані договору уповноваженого із захисту даних, можливі наслідки порушення та будь-які заходи, які були вжиті або мають бути вжиті.

Проте компанія зобов’язана повідомляти все, що відбувається, незалежно від того, чи є порушення ненавмисними чи навмисними, та нести відповідальність (підзвітність).

Відповідальність?

Компанія має бути відповідальним, компетентним і усвідомлювати те, що відбувається у своїх середовищах і системах. Компанія повинна продемонструвати свою здатність випереджально вирішити проблему та продемонструвати, що вона має інструменти для запобігання наслідкам витоку даних. Це робиться шляхом надання доказів і даних – і шляхом пропозиції вам запропонувати Гаранту впевненість, що те, що сталося, ніколи не повториться. За відсутність «підзвітності» передбачено штраф.

Про які порушення необхідно повідомити Гаранта?

Гаранту повідомляють лише про добровільні, а не випадкові порушення. Контролер даних повинен вирішити, повідомляти чи ні, згідно з логікою відповідальності, якщо порушення даних може завдати шкоди правам і свободам осіб. L'ENISA (Агентство Європейського Союзу з кібербезпеки) створило a методика розрахунку ризику про свободу осіб перед обличчям посягань. Цю методику також можна застосовувати в компанії.

Як дізнатися, чи було порушення?

Порушення має бути зрозумілим, щоб бути справді виявленим. Це можливо, якщо в компанії є відповідна підготовка для оцінки ризику та розуміння будь-яких збитків. Коротше кажучи, вам не потрібен інженер, який протягом двох місяців виходить на місце події, щоб оцінити можливі збитки від втраченого флеш-накопичувача: вам потрібен навчальний курс, який допоможе наявному персоналу зрозуміти ступінь збитку, не додаючи до витрат вже важливе управління. Простіше кажучи, персонал повинен бути навчений тому, що тягне за собою порушення, і своєчасно повідомляти про процедуру суб’єктам даних.

Стаття 34 говорить нам, що контролер даних не може повідомляти про порушення суб’єкту даних коли:

• Вживаються відповідні технічні та організаційні заходи, але з повідомленням Гаранта та підтвердженням відповідальності.
• Він вжив заходів, щоб уникнути високого ризику порушення даних.
• Розголошення можна не оприлюднювати, якщо воно потребує непропорційних зусиль – у цьому випадку це має бути публічно заявлено!

Трапляються витоки даних. Але як ви думаєте, що ви можете впоратися з цим?