Вы находитесь на странице: 1из 26

Актуальные вопросы

GDPR: Утечки ПДн


Прозоров Андрей, CISM
80na20.blogspot.ru

2018-04-12
http://breachlevelindex.com
Article 4 Статья 4
Definitions Понятийно-терминологическая основа

(12) «Personal data breach» means a breach (12) «Утечка персональных данных» –
of security leading to the accidental or означает нарушение безопасности,
unlawful destruction, loss, alteration, приводящее к случайному или
unauthorised disclosure of, or access to, противозаконному уничтожению, потере,
personal data transmitted, stored or изменению, несанкционированному
otherwise processed. раскрытию или доступу к персональным
данным, переданных, хранящихся или
обработанных иным образом.
Почему важно контролировать утечки?

GDPR: “(85) Утечка персональных данных, если она надлежащим образом и


своевременно не была устранена, может привести к физическому,
материальному или нематериальному ущербу для физических лиц, таким
как утрата контроля над персональными данными или ограничение их прав,
дискриминация, кража идентификационных данных или мошенничество с
персональными данными, финансовые потери, несанкционированный отказ
от псевдонимизации, ущерб репутации, нарушение конфиденциальности
персональных данных, защищённых профессиональной тайной, или любые
иные существенные экономические или социальные потери для
соответствующих физических лиц…”
Уведомление об утечках по GDPR

Supervisory authority Data subjects


(Надзорный орган) (Субъекты данных)
Art.33 Art.34
Article 33 Статья 33
Notification of a personal data breach to Уведомление надзорного органа об
the supervisory authority утечке персональных данных

1.In the case of a personal data breach, the1.В случае утечки персональных данных
controller shall without undue delay and, контролёр, без неоправданной задержки и,
where feasible, not later than 72 hours after
при наличии соответствующей
having become aware of it, notify the возможности, не позднее чем через 72
personal data breach to the supervisory часа после того, как он узнает об этом,
authority competent in accordance with уведомляет об утечке персональных
Article 55, unless the personal data breach is
данных компетентный надзорный орган в
unlikely to result in a risk to the rights and
соответствии со Статьей 55, кроме случаев,
freedoms of natural persons. Where the когда эта утечка персональных данных едва
notification to the supervisory authority is not
ли обернется рисками для прав и свобод
made within 72 hours, it shall be физических лиц. В случае если
accompanied by reasons for the delay. уведомление надзорного органа не
произведено в течение 72 часов, в нем
должны быть указать причины задержки.
2.The processor shall notify the controller 2.Обработчик должен уведомить
without undue delay after becoming aware of контролёра без неоправданной задержки
a personal data breach. об утечке персональных данных как только
ему стало известно об утечке персональных
данных.
3.The notification referred to in paragraph 1 3.Уведомление, предусмотренное
shall at least: параграфом 1, должно как минимум:
(a) describe the nature of the personal data (a) описывать характер утечки
breach including where possible, the персональных данных, в том числе, когда
categories and approximate number of data это возможно, категории и
subjects concerned and the categories and приблизительное количество
approximate number of personal data records соответствующих субъектов данных, а
concerned; также категории и приблизительное
количество соответствующих записей
персональных данных;
(b) communicate the name and contact (b) сообщать наименование и реквизиты
details of the data protection officer or other инспектора по защите персональных
contact point where more information can be данных или иного контактного пункта, где
obtained; может быть получена более подробная
информация;
(c) describe the likely consequences of the (c) описывать вероятные последствия
personal data breach; утечки персональных данных;
(d) describe the measures taken or proposed (d) описывать меры, предпринятые или
to be taken by the controller to address the предполагаемые к принятию контролёром
personal data breach, including, where в ответ на утечки персональных, в том
appropriate, measures to mitigate its possible числе, в необходимых случаях, меры по
adverse effects. смягчению возможных неблагоприятных
последствий таких утечек.
4.Where, and in so far as, it is not possible to 4.Если, и в том случае когда, невозможно
provide the information at the same time, the предоставить информацию
information may be provided in phases единовременно, эта информация может
without undue further delay. предоставляться поэтапно без
неоправданной дальнейшей задержки.

5.The controller shall document any personal 5.Контролёр должен документировать


data breaches, comprising the facts relating to любые утечки персональных данных,
the personal data breach, its effects and the содержащие факты, касающиеся утечки
remedial action taken. That documentation персональных данных, их последствий, а
shall enable the supervisory authority to также предпринятых меры по устранению
verify compliance with this Article. последствий. Такая документация должна
позволять надзорному органу проверить
соблюдение настоящей Статьи.
Article 34 Статья 34
Communication of a personal data breach to Сообщение субъекту данных об утечке
the data subject персональных данных

1.When the personal data breach is likely to 1.В тех случаях, когда утечка персональных
result in a high risk to the rights and данных, вероятнее всего приведет к
freedoms of natural persons, the controller высокому риску для прав и свобод
shall communicate the personal data breach физических лиц, контролёр должен
to the data subject without undue delay. сообщить субъекту данных об утечке
персональных данных, без
необоснованной задержки.

2.The communication to the data subject 2. Сообщение субъекту данных,


referred to in paragraph 1 of this Article shall предусмотренное параграфом 1 настоящей
describe in clear and plain language the Статьи, должно излагать ясным и простым
nature of the personal data breach and языком характер утечки персональных
contain at least the information and данных, а также содержать как минимум
measures referred to in points (b), (c) and (d) информацию и меры, предусмотренные в
of Article 33(3). пунктах (b), (c) и (d) Статьи 33(3).
3.The communication to the data subject 3.Сообщение субъекту данных,
referred to in paragraph 1 shall not be required предусмотренное параграфом 1, не требуется,
if any of the following conditions are met: если выполнено любое из следующих
условий:
(a) the controller has implemented appropriate (a) контролёр принял надлежащие
technical and organisational protection технические и организационные меры
measures, and those measures were applied to защиты, и такие меры были применены в
the personal data affected by the personal data отношении персональных данных,
breach, in particular those that render the затронутых утечкой, в том числе и такие
personal data unintelligible to any person who is меры, которые отображают персональные
not authorised to access it, such as encryption; данные в непонятном виде для любого лица,
которое не имеет права доступа к ним, среди
которых криптографическая защита;
(b) the controller has taken subsequent (b) контролёр предпринял последующие
measures which ensure that the high risk to the меры, которые гарантируют, что высокий риск
rights and freedoms of data subjects referred to для прав и свобод субъектов данных,
in paragraph 1 is no longer likely to materialise; упомянутых в параграфе 1, больше не
способен получить вероятную реализацию;
(c) it would involve disproportionate effort. In (c) требуются несоразмерные усилия. В этом
such a case, there shall instead be a public случае, вместо этого делается сообщение для
communication or similar measure whereby the всеобщего сведения либо предпринимается
data subjects are informed in an equally effective аналогичная мера, посредством которой
manner. субъекты данных информируются
равнодействующим способом.
4.If the controller has not already 4.Если контролёр еще не сообщил
communicated the personal data breach to субъекту данных об утечке персональных
the data subject, the supervisory authority, данных, надзорный орган, рассмотрев
having considered the likelihood of the возможные последствия высокой степени
personal data breach resulting in a high risk, риска для прав и свобод физических лиц,
may require it to do so or may decide that может потребовать сделать такое
any of the conditions referred to in сообщение, либо может решить, что
paragraph 3 are met. любое из условий, предусмотренных
параграфом 3, выполнены.
Уведомление надзорного органа Уведомление субъектов
Когда можно • Если риск минимальный • Если риск НЕ большой
НЕ уведомлять • Если приняты надлежащие
меры (например,
криптографическая защита)
• Если приняты адекватные
последующие меры
• Если требуются
несоразмерные усилия

Состав • Характер утечки (категории и


уведомления количество пострадавших
субъектов и записей)
• Реквизиты DPO • Реквизиты DPO
• Возможные последствия • Возможные последствия
• Принятые меры • Принятые меры

Срок • Без неоправданной задержки • Без неоправданной


уведомления и, не позднее чем через задержки
72 часа после выявления
Что еще в GDPR?
• Ассоциации и иные организации, представляющие
категории контролёров или обработчиков, могут
разрабатывать кодексы поведения… в том числе, про
(i) уведомления надзорных органов об утечке
персональных данных и сообщение о таких утечках
персональных данных субъектам данных (Art.40.2)
• У надзорного органа есть право… (e) предписывать
контролёру сообщить субъекту данных об утечке
персональных данных (Art.58.2)
Возможен штраф до 10 000 000 Евро,
или применительно к хозяйствующему субъекту,
в размере до 2% от глобального годового
оборота (the total worldwide annual turnover)
хозяйствующего субъекта за весь предыдущий
финансовый год, в зависимости от того, какая
сумма больше…
Фух, успел
до 25 мая…
Кого и как уведомлять?
Внедрили ли вы процедуру
оповещения об утечках?

Нет; 23,8%
Да; 33,1%

В процессе; 43,1%
The Article 29 Working Party
Рекомендации от ICO

Information Commissioner's Office (ICO) –


The UK’s independent authority set up to
uphold information rights in the public
interest, promoting openness by public bodies
and data privacy for individuals.

https://ico.org.uk/for-organisations/report-a-
breach/personal-data-breach
Форма уведомления ICO 1

Веб-форма - https://ico.org.uk/media/for-organisations/documents/2258298/personal-data-breach-report-form-web-dpa-2018.doc
Форма уведомления ICO
2
Определите свой надзорный орган
“Remember, in the case of a breach affecting individuals in different EU
countries, the ICO may not be the lead supervisory authority. This means
that as part of your breach response plan, you should establish which
European data protection agency would be your lead supervisory
authority for the processing activities that have been subject to the
breach.”
The Article 29 Working Party (“who your lead authority is?”):
• "Guidelines for identifying a controller or processor’s lead supervisory
authority" (WP 244 rev.01) -
https://iapp.org/media/pdf/resource_center/WP29-2017-04-lead-
authority-guidance.pdf
• FAQ -
http://ec.europa.eu/information_society/newsroom/image/document
/2016-51/wp244_annexii_en_40858.pdf
Austria Datenschutzbehörde – Republik Österreich
Belgium Commission de la Protection de la Vie Privee (CPVP)
Bulgaria Commission for Personal Data Protection (CPDP)
Croatia Agencija za zaštitu osobnih podataka (AZOP)
Cyprus Commissioner for Personal Data Protection
Czech Rebublic Office for Personal Data Protection
Denmark Datatilsynet
Estonia Estonian Data Protection Inspectorate (AKI)
European Union European Data Protection Supervisor
Finland Office of the Data Protection Ombudsman
France Commission nationale de l’informatique et des libertés (CNIL)
Germany Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)
Greece Hellenic Data Protection Authority (DPA)
Hungary Hungarian National Authority for Data Protection and Freedom of Information (NAIH)
Iceland Icelandic Data Protection Authority
Ireland Irish Data Protection Commissioner
Italy Garante per la Protezione dei Dati Personali
Latvia Data State Inspectorate of Latvia (DVI)
Liechtenstein Datenschutzstelle (DSS) Liechtenstein
Lithuania State Data Protection Lithuania
Luxembourg Commission Nationale pour la Protection des Donees (CNPD)
Malta Office of the Information and Data Protection Commissioner (IDPC)
Netherlands Autoriteit Persoonsgegevens
Norway Datatilsynet Norway
Poland Bureau of the Inspector General for the Protection of Personal Data (GIODO)
Portugal Comissio National de Proteccao de Dados (CNPD)
Romania National Supervisory Authority for Personal Data Processing
Slovakia Office for Personal Data Protection of the Slovak Republic
Slovenia Information Commissioner Slovenia
Spain Agencia Espanola de Proteccion de Dattos (AEPD)
Sweden Swedish Data Protection Authority
Switzerland Federal Data Protection and Information Commissioner (FDPIC)
United Kingdom Information Commissioner’s Office (ICO)
Полезные ссылки

• The Article 29 Working Party: «Guidelines on Personal data breach notification under
Regulation 2016/679» (wp250rev.01)
https://iapp.org/media/pdf/resource_center/WP29-Breach-notification_02-2018.pdf
• Guide to the GDPR (глава «Personal data breaches»)
https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr
• Notification of data security breaches to the Information Commissioner’s Office (ICO)
https://ico.org.uk/media/for-organisations/documents/1536/breach_reporting.pdf
• Страница «Report a breach» от ICO
https://ico.org.uk/for-organisations/report-a-breach
Спасибо!

Прозоров Андрей, CISM


80na20.blogspot.ru