Хотя необходимо прилохить все усилия, чтобы утечки персональных данных не случилось. Тем не менее все компании должны внедрить внутренние инструкции и процедуры реагирования на инциденты с персональными данными. В случае утечки (например, хакерской атаки) компания обязана уведомить регулятора и пользователей в течение трех суток.
Анализ ситуации
Итак, вы узнали персональные данные пользователей или клиентов оказались скомпрометированы.
- Надо проанализировать, какая информация оказалась скомпрометированой и каким образом.
- Сколько пользователей пострадало и какие именно их персональные данные были скомпрометированы.
- Продолжается ли утечка данных сейчас. Если да, то по возможности надо ее остановить.
Возможно скомпрометированные персональные данные не представляют большой ценности и не несут серьезного риска клиентам. То есть вероятность возникновения риска для прав и свобод граждан в результате утечки данных невелика. В этом случае уведомлять надзорные органы не обязательно.
Оповещение надзорных органов
Контролерам необходимо оповестить об инциденте надзорные органы ЕС. Это должно сделать одно из европейских подразделений контролера, либо официально уполномоченный представитель контролера в ЕС. Европейские требования по уведомлению устанавливают жесткие рамки — до 72 часов с момента обнаружения утечки.
Уведомление надзорных органов должно включать (Статья 33):
- описание характера утечки
- примерное число пострадавших владельцев ПД;
- описание возможных последствий
- описание предпринятых мер с целью минимизации последствий;
- а также контактную информацию компании, допустившей утечку.
При несоблюдении срока в 72 часа потребуется предоставить мотивированное обоснование задержки оповещения. Наверное к оповещению стоит относиться достаточно серьезно. Так как при вынесении наказания скорее всего будут учитываться смягчающие и отягощающие обстоятельства.
Кроме того компания, работающая с персональными данными резидентов ЕС должна иметь реестр операций с персональными данными, логи, дампы трафика. И важно не просто записать трафик и вести реестры, а проиндексировать его и обеспечить быстрый поиск необходимой информации, так как объем данных может быть очень большим. В худшем случае эта информация возможно будет запрошена надзорными органами при расследовании инцидента.
Оповещение клиентов
Обящанность уведомления клиентов наступает только в случае наличия «высокого риска» для их прав и свобод.
В этом случае их надо уведомлять также в течении 72 часов с момента обнаружения утечки персональных данных.
Аналоги в других странах.
В Великобритании существуют аналогичные требования об оповещении. Например, британское Управление по защите данных (UK ICO, Information Commissioner’s Office) требует организации уведомлять обо всех «серьезных» утечках.
Аналогичные требования существуют и для клиентов из США. Но европейское требованиЕ оповещения в 72 часа на текущий момент является саммы строгим