Як поводитися у разі порушення даних?
Як поводитися у разі порушення даних?
Перш за все, не панікуйте і завжди тримайте при собі рушник.
Нарешті це сталося. У вашій системі була помилка, і хтось скористався нею, щоб виконати те, що на жаргоні називається a Дані порушення. Порушення персональних даних. Не хвилюйтеся, це не незвичайне явище. Найщасливіші стикаються з такою випадковістю рідше одного разу на рік, але у світі, який розвивається так само швидко, як Інтернет, може статися, що така ситуація стає набагато частішою. Хоча ви намагаєтеся не панікувати, ми радимо вам дотримуватися основного правила: щоб усунути порушення, ви повинні дотримуйтеся вказівок Європейського регламенту 16/679 (GDPR), який пропонує вказівки щодо того, що робити, якщо сталося порушення даних.
Що таке порушення даних?
Порушення персональних даних є 6 типів, і кожен з них може бути добровільним або випадковим залежно від того, чому це сталося:
- Несанкціонований доступ. Хтось не міг отримати доступ до певної інформації, але він був. Якщо це була помилка, можливо, ви надіслали важливий документ одній особі, а не іншій. Це був нещасний випадок, але все одно є витоком даних. Однак у випадку, якщо ви зробили несанкціонований доступ до чиїхось даних, ця подія може стати шпигунство.
- Неавторизована копія. Хтось взяв якісь дані, які їм не належать, і скопіював їх собі. Це може бути нещасним випадком, якщо колега вирішив надрукувати документ, який йому не слід було мати, щоб краще скласти робочий документ. У разі добровільного копіювання для менш зрозумілих цілей це може бути крадіжка.
- Несподіване розкриття. Хтось випадково злив дані, які з будь-якої причини не повинні бути онлайн. Наприклад, фотографія важливого клієнта опублікована на профілі компанії у Facebook. У разі шахрайства ця операція викликається поширення.
- Несанкціонована модифікація. Хтось змінив деякі дані, хоча не міг цього зробити. Якщо це сталося помилково, це все. Інакше могло бути підробка хакером або зловмисником.
- Втрата доступу. Хтось втрачає інформацію, і вона стає недоступною. Забутий пароль комп’ютера є порушенням, чи знаєте ви про це? А якщо це було зроблено навмисно, воно стає шифрування.
- Видалення даних. Хтось видаляє конфіденційні дані. Якщо це сталося помилково, то це порушення. Але якщо скасування є добровільним, це тягне за собою знищення даних.
Порушення персональних даних: як поводитися?
Зверніться до статей 33 і 34 GDPR. Ці дві статті посилаються на європейський регламент, який прагне вказати процедури, яких слід дотримуватися у разі порушення даних. Стаття 33 стосується внутрішнього управління компанією та відносин з Гарантом, тоді як стаття 34 стосується управління із зацікавленими сторонами або людьми, чиї особисті дані ми маємо.
Важливо це уточнити порушення даних має бути завжди зафіксовано e, у випадку, повідомленому Гаранту як зазначено в статті 33. Тут також сказано, що у разі порушення контролер даних повинен повідомити наглядові органи протягом 72 годин після того, як йому стало відомо, особливо якщо це становить ризик для прав і свобод фізичних осіб. Обробники даних (фірма, що нараховує заробітну плату, бухгалтер, системні аналітики…) повинні повідомити контролера даних.
Якщо ви вирішите повідомити Гаранта, йому потрібна інформація: характер порушення, кількість залучених людей, дані договору уповноваженого із захисту даних, можливі наслідки порушення та будь-які заходи, які були вжиті або мають бути вжиті.
Проте компанія зобов’язана повідомляти все, що відбувається, незалежно від того, чи є порушення ненавмисними чи навмисними, та нести відповідальність (підзвітність).
Відповідальність?
Компанія має бути відповідальним, компетентним і усвідомлювати те, що відбувається у своїх середовищах і системах. Компанія повинна продемонструвати свою здатність випереджально вирішити проблему та продемонструвати, що вона має інструменти для запобігання наслідкам витоку даних. Це робиться шляхом надання доказів і даних – і шляхом пропозиції вам запропонувати Гаранту впевненість, що те, що сталося, ніколи не повториться. За відсутність «підзвітності» передбачено штраф.
Про які порушення необхідно повідомити Гаранта?
Гаранту повідомляють лише про добровільні, а не випадкові порушення. Контролер даних повинен вирішити, повідомляти чи ні, згідно з логікою відповідальності, якщо порушення даних може завдати шкоди правам і свободам осіб. L'ENISA (Агентство Європейського Союзу з кібербезпеки) створило a методика розрахунку ризику про свободу осіб перед обличчям посягань. Цю методику також можна застосовувати в компанії.
Як дізнатися, чи було порушення?
Порушення має бути зрозумілим, щоб бути справді виявленим. Це можливо, якщо в компанії є відповідна підготовка для оцінки ризику та розуміння будь-яких збитків. Коротше кажучи, вам не потрібен інженер, який протягом двох місяців виходить на місце події, щоб оцінити можливі збитки від втраченого флеш-накопичувача: вам потрібен навчальний курс, який допоможе наявному персоналу зрозуміти ступінь збитку, не додаючи до витрат вже важливе управління. Простіше кажучи, персонал повинен бути навчений тому, що тягне за собою порушення, і своєчасно повідомляти про процедуру суб’єктам даних.
Стаття 34 говорить нам, що контролер даних не може повідомляти про порушення суб’єкту даних коли:
- Вживаються відповідні технічні та організаційні заходи, але з повідомленням Гаранта та підтвердженням відповідальності.
- Він вжив заходів, щоб уникнути високого ризику порушення даних.
- Розголошення можна не оприлюднювати, якщо воно потребує непропорційних зусиль – у цьому випадку це має бути публічно заявлено!
Трапляються витоки даних. Але як ви думаєте, що ви можете впоратися з цим?
Вас також може зацікавити:
«Пацієнт у центрі»: велика надія і зустріч у Сенаті
Тему важливості інновацій у медичних пристроях для європейської охорони здоров’я досліджуватимуть 15 травня в Римі експерти та політики
Альберто НіколініРедактор Districtbiomedicale.it, BioMed News і Radio Pico
Чотири країни, один гігантський океан: справа CMAR
Це морський коридор східної тропічної частини Тихого океану: Панама, Еквадор, Колумбія та Коста-Ріка об’єдналися для захисту морів і морських видів...
Лозанна по слідах забруднення: історія сміттєспалювального заводу
Команда вчених реконструювала події заводу з виробництва відходів у Валлоні та невидиме забруднення, яке шокувало кантон Во
Як середовище визначає характеристики сиру
Дегустація підкреслює, як за незмінних правил виробництва клімат і кормові культури впливають на різні органолептичні нотки