Этот модуль является ресурсом для лекторов

Законодательство об уведомлении о повреждении систем безопасности данных

Несмотря на то, что во многих странах действуют законы, требующие направления уведомлений об утечке данных (например, Филиппины: Закон о конфиденциальности данных 2012 года; Катар: Закон №.(13) от 2016 года о защите личных данных; и Индонезия: Положение №.82 от 2012 года «Об электронных системах и сделках» и постановление о реализации этого положения - Положение №.20 от 2016 года «О защите персональных данных в электронной системе»), в большинстве стран такие уведомления являются необязательными (например, в Аргентине, Беларуси, Коста-Рике, Египте, Японии, Макао, Малайзии, Мадагаскаре, Маврикии, Панаме, России и Саудовской Аравии) и/или являются обязательными для частного сектора, но не для государственного сектора в других странах, или только для определенных секторов общества (например, в Анголе и Сербии). В Аргентине, хотя уведомление об утечке данных не является обязательным, учреждения обязаны вести учет случаев утечки данных и представлять отчет по первому требованию во время проведения расследования или аудиторской проверки.

Знаете ли вы?

Компания DLA Piper составила интерактивную глобальную карту законов о защите данных, а также базу данных национальных законов, касающихся защиты данных и уведомлений о повреждении систем безопасности данных, с возможностью поиска: DLA Piper

Законы об уведомлении об утечке данных включают в себя положения, касающиеся применения этих законов; например, перечисляются лица, учреждения и/или органы, на которых распространяются эти законы, и что, согласно этим законам, подпадает под определение утечки данных. В соответствии с этими законами, организации, в которых произошла утечка данных (и которые подпадают под действие закона), обязаны связаться с субъектами этих данных и другими соответствующими сторонами и информировать их об инциденте.

В этих законах, в частности, описываются способы направления уведомления, срок уведомления, а также лица, учреждения и/или органы, которых необходимо информировать об утечке данных. Например, ОРЗД предусматривает обязательство об уведомлении в случае несанкционированного доступа к системам и данным, использования и распространения данных в течение 72 часов (статья 33). Лица, обрабатывающие данные, обязаны уведомлять котролеров данных в течение 72 часов после утечки, а контролеры данных в течение такого же срока обязаны уведомлять надзорный орган по защите данных в соответствующем государстве-члене ЕС.

Законы об уведомлении об утечке данных также предусматривают исключения из требования об уведомлении. Например, согласно ОРЗД, уведомление субъекта данных зависит от серьезности случая утечки данных (статья 34). Некоторые законы об уведомлении об утечке данных не требуют уведомления субъектов данных, если будет установлено, что утечка, вероятней всего, не причинит им ущерба. В других законах уведомление является обязательным, когда масштаб утечки данных достигает определенного порога. В Соединенных Штатах Америки Закон о преемственности страхования и отчётности в области здравоохранения (HIPAA) требует уведомления затронутых сторон в течение 60 дней с момента утечки. Однако в случаях, когда утечка данных о здоровье затрагивает более 500 человек, необходимо уведомлять Управление по гражданским правам Министерства здравоохранения и социальных служб и средства массовой информации в течение 60 дней с момента утечки, в то время как в случаях, когда утечка личных данных о здоровье затрагивает менее 500 человек, нет необходимости уведомлять об этом средства массовой информации, а Управление по гражданским правам Министерства здравоохранения и социальных служб должно быть уведомлено об этом не позднее, чем через 60 дней после начала следующего календарного года (HIPPA Journal, 2015).

В других странах законодательство об уведомлении об утечке данных также требует от организаций, которые обрабатывают персональные данные, применять меры безопасности для защиты данных и/или осуществлять действия от имени лица, затронутого утечкой данных, для исправления ситуации и/или устранения ущерба (например, Канада, Индонезия и Соединенные Штаты).

Далее: Контроль за соблюдением законодательства о конфиденциальности и защите данных
Наверх