Как да се държим в случай на нарушение на данните?

Първо, не се паникьосвайте и винаги се уверявайте, че носите кърпата си със себе си.

Най-накрая се случи. Имаше пропуск в системата ви и някой се възползва от него, за да извърши това, което на жаргон се нарича a данни нарушение. Нарушаване на сигурността на личните данни. Не се притеснявайте, това не е необичайно явление. Най-щастливите се сблъскват с тази възможност по-рядко от веднъж годишно, но в свят, който се развива толкова бързо, колкото интернет, може да се случи тази възможност да стане много по-честа. Докато се опитвате да не изпадате в паника, ние ви насърчаваме да се придържате към основното правило: за да се справите с пробив, трябва спазвайте указанията на Европейския регламент 16/679 (GDPR), който предлага насоки какво да направите, ако възникне нарушение на сигурността на данните.

Какво е нарушение на данните?

Нарушенията на личните данни са на 6 вида, като всеки от тях може да бъде доброволен или случаен въз основа на защо се е случило:

• Неоторизиран достъп. Някой не можеше да има достъп до определена информация, но го имаше. В случай, че това е грешка, може да сте изпратили важен документ на един човек вместо на друг. Беше злополука, но все още е нарушение на данните. Въпреки това, в случай, че сте направили неоторизиран достъп до нечии данни, това събитие може да стане шпионаж.
• Неоторизирано копие. Някой е взел някои данни, които не му принадлежат, и ги е копирал за себе си. Това може да е инцидент, ако колега реши да отпечата документ, който не трябва да има, за да състави по-добре работен документ. В случай на доброволно копиране за по-малко ясни цели, това може да бъде кражба.
• Неочаквано разкриване. Някой случайно изтече данни, които не трябва да са онлайн по някаква причина. Например, снимка на важен клиент е пусната във фейсбук профила на компанията. В случай на измама тази операция се извиква разпространение.
• Неоторизирана модификация. Някой е променил някои данни, въпреки че не е могъл да го направи. Ако е станало по погрешка, това е. Иначе може да бъде подправяне от хакер или нападател.
• Загуба на достъп. Някой губи информация и тя вече не е достъпна. Забравянето на паролата на вашия компютър е нарушение, знаехте ли това? И в случай, че е направено нарочно, става криптиране.
• Изтриване на данни. Някой изтрива чувствителни данни. Ако това е станало по погрешка, това е нарушение. Но в случай, че анулирането е доброволно, то води до унищожаване на данни.

Нарушаване на личните данни: как да се държим?

Моля, вижте членове 33 и 34 от GDPR. Тези два члена се отнасят до европейския регламент, който се стреми да посочи процедурите, които трябва да се следват в случай на нарушение на сигурността на данните. Член 33 се отнася до вътрешното управление на компанията и отношенията с Гаранта, докато член 34 се отнася до управлението със заинтересованите страни или хората, чиито лични данни имаме.

Важно е да се уточни, че нарушението на данните трябва винаги да се записва e, в случай, уведомен до Гаранта както е посочено в член 33. Това също така гласи, че в случай на нарушение, администраторът на данни трябва да уведоми надзорните органи в рамките на 72 часа от узнаването му, особено ако това представлява риск за правата и свободите на физическите лица. Обработващите данни (фирма за заплати, счетоводител, системни анализатори...) трябва да уведомят администратора на данни.

Ако решите да уведомите Поръчителя, той се нуждае от информация: естество на нарушението, брой на засегнатите лица, договорни данни на длъжностното лице по защита на данните, възможни последици от нарушението и всички мерки, които са предприети или предстои да бъдат предприети.

Компанията обаче има задължението да съобщавайте всичко, което се случва, независимо дали нарушенията са неволни или умишлени, и поемат отговорност (отчетност).

Отговорността?

Компанията трябва да е отговорен, компетентен и наясно какво се случва в неговите среди и системи. Компанията трябва да демонстрира способността си да разреши проблема проактивно и да демонстрира, че разполага с инструментите, за да спре последствията от нарушаването на данните. Това става чрез предоставяне на доказателства и данни – и като Ви предложим да предложите на Поръчителя сигурност, че случилото се никога няма да се повтори. При липса на "отчетност" се налага глоба.

Какви са нарушенията, които трябва да бъдат съобщени на Гаранта?

На Гаранта се съобщават само доброволни, а не случайни нарушения. Администраторът на данни трябва да реши дали да уведоми или не, в логиката на отчетността, ако нарушението на данните може да причини увреждане на правата и свободите на лицата. л'ENISA (Агенцията на Европейския съюз за киберсигурност) създаде a методология за изчисляване на риска относно свободата на хората в лицето на нарушение. Тази методика може да се приложи и във фирмата.

Как да разберете дали има нарушение?

Нарушението трябва да се разбира, за да бъде наистина открито. Това е осъществимо, ако в компанията има подходящо обучение за оценка на риска и разбиране на щетите. С две думи, нямате нужда от инженер, който влиза на сцената в продължение на два месеца в опит да оцени възможните щети от изгубено флаш устройство: имате нужда от курс на обучение, който помага на наличния персонал да разбере степента на щетите, без да добавя към вече значителните разходи за управление. Казано по-просто, персоналът трябва да бъде обучен за това, което включва нарушението и за своевременното съобщаване на процедурата на субектите на данни.

Член 34 ни казва, че администраторът на данни не може да съобщава за нарушението на субекта на данните кога:

• Въведени са адекватни технически и организационни мерки, но с уведомление до Гаранта и доказателство за отчетност.
• Той е приел мерки за избягване на висок риск от нарушаване на сигурността на данните.
• Разкриването може да бъде пропуснато, ако изисква несъразмерно големи усилия – в този случай трябва да бъде публично декларирано!

Случват се нарушения на данните. Но как мислиш, че можеш да се справиш?