Kaip elgtis duomenų pažeidimo atveju?

Visų pirma, nepanikuokite ir visada pasirūpinkite, kad rankšluostis būtų su savimi.

Pagaliau tai įvyko. Jūsų sistemoje buvo klaida ir kažkas ja pasinaudojo, kad atliktų tai, kas žargonu vadinama a duomenų pažeidimas. Asmens duomenų pažeidimas. Nesijaudinkite, tai nėra neįprastas reiškinys. Patys laimingiausi su šia galimybe susiduria rečiau nei kartą per metus, tačiau pasaulyje, kuris vystosi taip pat greitai, kaip internetas, toks įvykis gali įvykti daug dažniau. Nors stengiatės nepanikuoti, raginame laikytis praktikos: susidoroti su pažeidimu privalote vadovaukitės Europos reglamento 16/679 nuorodomis (BDAR), kuriame pateikiamos gairės, ką daryti, jei įvyksta duomenų pažeidimas.

Kas yra duomenų pažeidimas?

Asmens duomenų pažeidimai yra 6 tipai, ir kiekvienas iš jų gali būti savanoriškas arba atsitiktinis pagal tai, kodėl taip atsitiko:

• Nepatvirtintas prisijungimas. Kažkas negalėjo pasiekti tam tikros informacijos, bet tai padarė. Jei tai buvo klaida, galbūt išsiuntėte svarbų dokumentą vienam asmeniui, o ne kitam. Tai buvo nelaimingas atsitikimas, bet vis tiek duomenų pažeidimas. Tačiau jei suteikėte neteisėtą prieigą prie kažkieno duomenų, šis įvykis gali tapti šnipinėjimas.
• Neteisėta kopija. Kažkas paėmė duomenis, kurie nebuvo jo, ir nukopijavo juos sau. Tai gali būti nelaimingas atsitikimas, jei bendradarbis nuspręstų atspausdinti dokumentą, kurio nereikėtų, kad galėtų geriau užpildyti darbo dokumentą. Savanoriško kopijavimo atveju, siekiant ne tokių aiškių tikslų, taip gali būti vagystė.
• Atskleidimas neketinamas. Kažkas netyčia nutekina duomenis, kurie jokiomis aplinkybėmis neturėtų būti internete. Pavyzdžiui, įmonės Facebook profilyje paviešinama svarbaus kliento nuotrauka. Sukčiavimo atveju ši operacija vadinama difuzija.
• Neleistinas modifikavimas. Kažkas pakeitė kai kuriuos duomenis, nors negalėjo to padaryti. Jei tai atsitiko per klaidą, tai apie tai. Kitaip gali būti klastojimas įsilaužėlis ar užpuolikas.
• Prieigos praradimas. Kažkas pameta informaciją ir ji nebepasiekiama. Ar žinojote, kad kompiuterio slaptažodžio pamiršimas yra pažeidimas? Ir jei tai buvo padaryta tyčia, taip ir tampa šifravimas.
• Duomenų ištrynimas. Kažkas ištrina neskelbtinus duomenis. Jei tai įvyko per klaidą, tai yra pažeidimas. Tačiau jei atšaukimas yra savanoriškas, jis patiria duomenų sunaikinimas.

Asmens duomenų pažeidimas: ką daryti?

Žr. BDAR 33 ir 34 straipsnius. Šie du straipsniai nurodo Europos reglamentą, kuriuo siekiama nurodyti procedūras, kurių reikia laikytis duomenų pažeidimo atveju. 33 straipsnis susijęs su įmonės vidaus valdymu ir santykiais su garantu, o 34 straipsnis – su suinteresuotomis šalimis, t. y. asmenimis, kurių asmens duomenis turime.

Būtina tai nurodyti duomenų saugumo pažeidimas visada turi būti užfiksuotas e, prireikus pranešama laiduotojui Taip pat nurodyta, kad pažeidimo atveju duomenų valdytojas per 33 valandas nuo jo sužinojimo privalo pranešti priežiūros institucijoms, ypač jei tai kelia pavojų vartotojų teisėms ir laisvėms. Duomenų valdytojai (darbo užmokesčio biuras, buhalteris, sistemų inžinieriai...) privalo apie tai pranešti duomenų valdytojui.

Jei nuspręsite apie tai pranešti garantui, pastarajam reikia informacijos: pažeidimo pobūdžio, susijusių asmenų skaičiaus, duomenų apsaugos pareigūno sutarties duomenų, galimų pažeidimo pasekmių ir priemonių, kurių buvo imtasi ar ketinama imtis.

Tačiau įmonė turi pareigą bendrauti su viskuo, kas vyksta, neatsižvelgiant į tai, ar pažeidimai yra netyčiniai, ar tyčiniai, ir prisiimti atsakomybę.

Atsakomybė?

Įmonė turi būti atsakingas, kompetentingas ir žinoti, kas vyksta jos aplinkoje ir sistemose. Įmonė turi įrodyti, kad ji gali iniciatyviai išspręsti problemą ir įrodyti, kad turi įrankius duomenų pažeidimo pasekmėms sustabdyti. Tai daroma pateikiant įrodymus ir duomenis bei siūlant garantui užtikrinti, kad tai, kas atsitiko, niekada nepasikartos. Trūkstant „atskaitomybės“, užtraukiama bauda.

Apie kokius pažeidimus reikia pranešti laiduotojui?

Laiduotojui pranešama tik apie savanoriškus pažeidimus, o ne apie atsitiktinius. Duomenų valdytojas turi nuspręsti, ar pagal atskaitomybės logiką pranešti, ar ne, jei duomenų saugumo pažeidimas gali pakenkti žmonių teisėms ir laisvei. L'ENISA (Europos Sąjungos kibernetinio saugumo agentūra) sukūrė a rizikos apskaičiavimo metodika dėl žmonių laisvės pažeidimo akivaizdoje. Ši metodika gali būti taikoma ir įmonėje.

Kaip sužinoti, ar buvo padarytas pažeidimas?

Pažeidimas turi būti suprantamas kaip iš tikrųjų nustatytas. Tai įmanoma, jei įmonė yra tinkamai apmokyta įvertinti riziką ir suprasti bet kokią žalą. Paprasčiau tariant, jums nereikia inžinieriaus, kuris du mėnesius atvyktų į įvykio vietą, bandant įvertinti galimą pamestos „flash drive“ žalą: jums reikia mokymo kurso, kuris padėtų turimiems darbuotojams suprasti žalos mastą, nepadidinant žalos. kaštai jau svarbūs valdymo klausimai. Paprasčiau tariant, darbuotojai turi būti apmokyti, ką reiškia pažeidimas ir kaip nedelsiant pranešti apie procedūrą nukentėjusiems asmenims.

34 straipsnyje nurodoma, kad duomenų valdytojas negali pranešti apie pažeidimą suinteresuotai šaliai kada:

• Tačiau tinkamos techninės ir organizacinės priemonės įgyvendinamos, informuojant laiduotoją ir įrodant, kad jis yra atsakingas.
• Ji ėmėsi priemonių, kad išvengtų didelės duomenų pažeidimo rizikos.
• Bendravimas gali būti praleistas, jei tam reikia neproporcingų pastangų – šiuo atveju tai turi būti deklaruojama viešai!

Duomenų pažeidimai įvyksta. Bet kaip manote, ar galite su tuo susitvarkyti?