Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

пр GDPR breach

196 views

Published on

Презентация про уведомления об утечках ПДн в рамках GDPR

Published in: Law
  • Be the first to comment

  • Be the first to like this

пр GDPR breach

  1. 1. Актуальные вопросы GDPR: Утечки ПДн Прозоров Андрей, CISM 80na20.blogspot.ru 2018-04-12
  2. 2. http://breachlevelindex.com
  3. 3. Article 4 Definitions (12) «Personal data breach» means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed. Статья 4 Понятийно-терминологическая основа (12) «Утечка персональных данных» – означает нарушение безопасности, приводящее к случайному или противозаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным, переданных, хранящихся или обработанных иным образом.
  4. 4. GDPR: “(85) Утечка персональных данных, если она надлежащим образом и своевременно не была устранена, может привести к физическому, материальному или нематериальному ущербу для физических лиц, таким как утрата контроля над персональными данными или ограничение их прав, дискриминация, кража идентификационных данных или мошенничество с персональными данными, финансовые потери, несанкционированный отказ от псевдонимизации, ущерб репутации, нарушение конфиденциальности персональных данных, защищённых профессиональной тайной, или любые иные существенные экономические или социальные потери для соответствующих физических лиц…” Почему важно контролировать утечки?
  5. 5. Уведомление об утечках по GDPR Supervisory authority (Надзорный орган) Art.33 Data subjects (Субъекты данных) Art.34
  6. 6. Article 33 Notification of a personal data breach to the supervisory authority 1.In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay. 2.The processor shall notify the controller without undue delay after becoming aware of a personal data breach. Статья 33 Уведомление надзорного органа об утечке персональных данных 1.В случае утечки персональных данных контролёр, без неоправданной задержки и, при наличии соответствующей возможности, не позднее чем через 72 часа после того, как он узнает об этом, уведомляет об утечке персональных данных компетентный надзорный орган в соответствии со Статьей 55, кроме случаев, когда эта утечка персональных данных едва ли обернется рисками для прав и свобод физических лиц. В случае если уведомление надзорного органа не произведено в течение 72 часов, в нем должны быть указать причины задержки. 2.Обработчик должен уведомить контролёра без неоправданной задержки об утечке персональных данных как только ему стало известно об утечке персональных данных.
  7. 7. 3.The notification referred to in paragraph 1 shall at least: (a) describe the nature of the personal data breach including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned; (b) communicate the name and contact details of the data protection officer or other contact point where more information can be obtained; (c) describe the likely consequences of the personal data breach; (d) describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects. 3.Уведомление, предусмотренное параграфом 1, должно как минимум: (a) описывать характер утечки персональных данных, в том числе, когда это возможно, категории и приблизительное количество соответствующих субъектов данных, а также категории и приблизительное количество соответствующих записей персональных данных; (b) сообщать наименование и реквизиты инспектора по защите персональных данных или иного контактного пункта, где может быть получена более подробная информация; (c) описывать вероятные последствия утечки персональных данных; (d) описывать меры, предпринятые или предполагаемые к принятию контролёром в ответ на утечки персональных, в том числе, в необходимых случаях, меры по смягчению возможных неблагоприятных последствий таких утечек.
  8. 8. 4.Where, and in so far as, it is not possible to provide the information at the same time, the information may be provided in phases without undue further delay. 5.The controller shall document any personal data breaches, comprising the facts relating to the personal data breach, its effects and the remedial action taken. That documentation shall enable the supervisory authority to verify compliance with this Article. 4.Если, и в том случае когда, невозможно предоставить информацию единовременно, эта информация может предоставляться поэтапно без неоправданной дальнейшей задержки. 5.Контролёр должен документировать любые утечки персональных данных, содержащие факты, касающиеся утечки персональных данных, их последствий, а также предпринятых меры по устранению последствий. Такая документация должна позволять надзорному органу проверить соблюдение настоящей Статьи.
  9. 9. Article 34 Communication of a personal data breach to the data subject 1.When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay. 2.The communication to the data subject referred to in paragraph 1 of this Article shall describe in clear and plain language the nature of the personal data breach and contain at least the information and measures referred to in points (b), (c) and (d) of Article 33(3). Статья 34 Сообщение субъекту данных об утечке персональных данных 1.В тех случаях, когда утечка персональных данных, вероятнее всего приведет к высокому риску для прав и свобод физических лиц, контролёр должен сообщить субъекту данных об утечке персональных данных, без необоснованной задержки. 2. Сообщение субъекту данных, предусмотренное параграфом 1 настоящей Статьи, должно излагать ясным и простым языком характер утечки персональных данных, а также содержать как минимум информацию и меры, предусмотренные в пунктах (b), (c) и (d) Статьи 33(3).
  10. 10. 3.The communication to the data subject referred to in paragraph 1 shall not be required if any of the following conditions are met: (a) the controller has implemented appropriate technical and organisational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorised to access it, such as encryption; (b) the controller has taken subsequent measures which ensure that the high risk to the rights and freedoms of data subjects referred to in paragraph 1 is no longer likely to materialise; (c) it would involve disproportionate effort. In such a case, there shall instead be a public communication or similar measure whereby the data subjects are informed in an equally effective manner. 3.Сообщение субъекту данных, предусмотренное параграфом 1, не требуется, если выполнено любое из следующих условий: (a) контролёр принял надлежащие технические и организационные меры защиты, и такие меры были применены в отношении персональных данных, затронутых утечкой, в том числе и такие меры, которые отображают персональные данные в непонятном виде для любого лица, которое не имеет права доступа к ним, среди которых криптографическая защита; (b) контролёр предпринял последующие меры, которые гарантируют, что высокий риск для прав и свобод субъектов данных, упомянутых в параграфе 1, больше не способен получить вероятную реализацию; (c) требуются несоразмерные усилия. В этом случае, вместо этого делается сообщение для всеобщего сведения либо предпринимается аналогичная мера, посредством которой субъекты данных информируются равнодействующим способом.
  11. 11. 4.If the controller has not already communicated the personal data breach to the data subject, the supervisory authority, having considered the likelihood of the personal data breach resulting in a high risk, may require it to do so or may decide that any of the conditions referred to in paragraph 3 are met. 4.Если контролёр еще не сообщил субъекту данных об утечке персональных данных, надзорный орган, рассмотрев возможные последствия высокой степени риска для прав и свобод физических лиц, может потребовать сделать такое сообщение, либо может решить, что любое из условий, предусмотренных параграфом 3, выполнены.
  12. 12. Уведомление надзорного органа Уведомление субъектов Когда можно НЕ уведомлять • Если риск минимальный • Если риск НЕ большой • Если приняты надлежащие меры (например, криптографическая защита) • Если приняты адекватные последующие меры • Если требуются несоразмерные усилия Состав уведомления • Характер утечки (категории и количество пострадавших субъектов и записей) • Реквизиты DPO • Возможные последствия • Принятые меры • Реквизиты DPO • Возможные последствия • Принятые меры Срок уведомления • Без неоправданной задержки и, не позднее чем через 72 часа после выявления • Без неоправданной задержки
  13. 13. Что еще в GDPR? • Ассоциации и иные организации, представляющие категории контролёров или обработчиков, могут разрабатывать кодексы поведения… в том числе, про (i) уведомления надзорных органов об утечке персональных данных и сообщение о таких утечках персональных данных субъектам данных (Art.40.2) • У надзорного органа есть право… (e) предписывать контролёру сообщить субъекту данных об утечке персональных данных (Art.58.2)
  14. 14. Возможен штраф до 10 000 000 Евро, или применительно к хозяйствующему субъекту, в размере до 2% от глобального годового оборота (the total worldwide annual turnover) хозяйствующего субъекта за весь предыдущий финансовый год, в зависимости от того, какая сумма больше…
  15. 15. Фух, успел до 25 мая…
  16. 16. Кого и как уведомлять?
  17. 17. Да; 33,1% В процессе; 43,1% Нет; 23,8% Внедрили ли вы процедуру оповещения об утечках?
  18. 18. The Article 29 Working Party
  19. 19. Information Commissioner's Office (ICO) – The UK’s independent authority set up to uphold information rights in the public interest, promoting openness by public bodies and data privacy for individuals. https://ico.org.uk/for-organisations/report-a- breach/personal-data-breach Рекомендации от ICO
  20. 20. Форма уведомления ICO1 Веб-форма - https://ico.org.uk/media/for-organisations/documents/2258298/personal-data-breach-report-form-web-dpa-2018.doc
  21. 21. Форма уведомления ICO2
  22. 22. Определите свой надзорный орган “Remember, in the case of a breach affecting individuals in different EU countries, the ICO may not be the lead supervisory authority. This means that as part of your breach response plan, you should establish which European data protection agency would be your lead supervisory authority for the processing activities that have been subject to the breach.” The Article 29 Working Party (“who your lead authority is?”): • "Guidelines for identifying a controller or processor’s lead supervisory authority" (WP 244 rev.01) - https://iapp.org/media/pdf/resource_center/WP29-2017-04-lead- authority-guidance.pdf • FAQ - http://ec.europa.eu/information_society/newsroom/image/document /2016-51/wp244_annexii_en_40858.pdf
  23. 23. Austria Belgium Bulgaria Croatia Cyprus Czech Rebublic Denmark Estonia European Union Finland France Germany Greece Hungary Iceland Ireland Italy Latvia Liechtenstein Lithuania Luxembourg Malta Netherlands Norway Poland Portugal Romania Slovakia Slovenia Spain Sweden Switzerland United Kingdom Datenschutzbehörde – Republik Österreich Commission de la Protection de la Vie Privee (CPVP) Commission for Personal Data Protection (CPDP) Agencija za zaštitu osobnih podataka (AZOP) Commissioner for Personal Data Protection Office for Personal Data Protection Datatilsynet Estonian Data Protection Inspectorate (AKI) European Data Protection Supervisor Office of the Data Protection Ombudsman Commission nationale de l’informatique et des libertés (CNIL) Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) Hellenic Data Protection Authority (DPA) Hungarian National Authority for Data Protection and Freedom of Information (NAIH) Icelandic Data Protection Authority Irish Data Protection Commissioner Garante per la Protezione dei Dati Personali Data State Inspectorate of Latvia (DVI) Datenschutzstelle (DSS) Liechtenstein State Data Protection Lithuania Commission Nationale pour la Protection des Donees (CNPD) Office of the Information and Data Protection Commissioner (IDPC) Autoriteit Persoonsgegevens Datatilsynet Norway Bureau of the Inspector General for the Protection of Personal Data (GIODO) Comissio National de Proteccao de Dados (CNPD) National Supervisory Authority for Personal Data Processing Office for Personal Data Protection of the Slovak Republic Information Commissioner Slovenia Agencia Espanola de Proteccion de Dattos (AEPD) Swedish Data Protection Authority Federal Data Protection and Information Commissioner (FDPIC) Information Commissioner’s Office (ICO)
  24. 24. Полезные ссылки • The Article 29 Working Party: «Guidelines on Personal data breach notification under Regulation 2016/679» (wp250rev.01) https://iapp.org/media/pdf/resource_center/WP29-Breach-notification_02-2018.pdf • Guide to the GDPR (глава «Personal data breaches») https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr • Notification of data security breaches to the Information Commissioner’s Office (ICO) https://ico.org.uk/media/for-organisations/documents/1536/breach_reporting.pdf • Страница «Report a breach» от ICO https://ico.org.uk/for-organisations/report-a-breach
  25. 25. Спасибо! Прозоров Андрей, CISM 80na20.blogspot.ru

×