Professional Documents
Culture Documents
2018-04-12
http://breachlevelindex.com
Article 4 Статья 4
Definitions Понятийно-терминологическая основа
(12) «Personal data breach» means a breach (12) «Утечка персональных данных» –
of security leading to the accidental or означает нарушение безопасности,
unlawful destruction, loss, alteration, приводящее к случайному или
unauthorised disclosure of, or access to, противозаконному уничтожению, потере,
personal data transmitted, stored or изменению, несанкционированному
otherwise processed. раскрытию или доступу к персональным
данным, переданных, хранящихся или
обработанных иным образом.
Почему важно контролировать утечки?
1.In the case of a personal data breach, the1.В случае утечки персональных данных
controller shall without undue delay and, контролёр, без неоправданной задержки и,
where feasible, not later than 72 hours after
при наличии соответствующей
having become aware of it, notify the возможности, не позднее чем через 72
personal data breach to the supervisory часа после того, как он узнает об этом,
authority competent in accordance with уведомляет об утечке персональных
Article 55, unless the personal data breach is
данных компетентный надзорный орган в
unlikely to result in a risk to the rights and
соответствии со Статьей 55, кроме случаев,
freedoms of natural persons. Where the когда эта утечка персональных данных едва
notification to the supervisory authority is not
ли обернется рисками для прав и свобод
made within 72 hours, it shall be физических лиц. В случае если
accompanied by reasons for the delay. уведомление надзорного органа не
произведено в течение 72 часов, в нем
должны быть указать причины задержки.
2.The processor shall notify the controller 2.Обработчик должен уведомить
without undue delay after becoming aware of контролёра без неоправданной задержки
a personal data breach. об утечке персональных данных как только
ему стало известно об утечке персональных
данных.
3.The notification referred to in paragraph 1 3.Уведомление, предусмотренное
shall at least: параграфом 1, должно как минимум:
(a) describe the nature of the personal data (a) описывать характер утечки
breach including where possible, the персональных данных, в том числе, когда
categories and approximate number of data это возможно, категории и
subjects concerned and the categories and приблизительное количество
approximate number of personal data records соответствующих субъектов данных, а
concerned; также категории и приблизительное
количество соответствующих записей
персональных данных;
(b) communicate the name and contact (b) сообщать наименование и реквизиты
details of the data protection officer or other инспектора по защите персональных
contact point where more information can be данных или иного контактного пункта, где
obtained; может быть получена более подробная
информация;
(c) describe the likely consequences of the (c) описывать вероятные последствия
personal data breach; утечки персональных данных;
(d) describe the measures taken or proposed (d) описывать меры, предпринятые или
to be taken by the controller to address the предполагаемые к принятию контролёром
personal data breach, including, where в ответ на утечки персональных, в том
appropriate, measures to mitigate its possible числе, в необходимых случаях, меры по
adverse effects. смягчению возможных неблагоприятных
последствий таких утечек.
4.Where, and in so far as, it is not possible to 4.Если, и в том случае когда, невозможно
provide the information at the same time, the предоставить информацию
information may be provided in phases единовременно, эта информация может
without undue further delay. предоставляться поэтапно без
неоправданной дальнейшей задержки.
1.When the personal data breach is likely to 1.В тех случаях, когда утечка персональных
result in a high risk to the rights and данных, вероятнее всего приведет к
freedoms of natural persons, the controller высокому риску для прав и свобод
shall communicate the personal data breach физических лиц, контролёр должен
to the data subject without undue delay. сообщить субъекту данных об утечке
персональных данных, без
необоснованной задержки.
Нет; 23,8%
Да; 33,1%
В процессе; 43,1%
The Article 29 Working Party
Рекомендации от ICO
https://ico.org.uk/for-organisations/report-a-
breach/personal-data-breach
Форма уведомления ICO 1
Веб-форма - https://ico.org.uk/media/for-organisations/documents/2258298/personal-data-breach-report-form-web-dpa-2018.doc
Форма уведомления ICO
2
Определите свой надзорный орган
“Remember, in the case of a breach affecting individuals in different EU
countries, the ICO may not be the lead supervisory authority. This means
that as part of your breach response plan, you should establish which
European data protection agency would be your lead supervisory
authority for the processing activities that have been subject to the
breach.”
The Article 29 Working Party (“who your lead authority is?”):
• "Guidelines for identifying a controller or processor’s lead supervisory
authority" (WP 244 rev.01) -
https://iapp.org/media/pdf/resource_center/WP29-2017-04-lead-
authority-guidance.pdf
• FAQ -
http://ec.europa.eu/information_society/newsroom/image/document
/2016-51/wp244_annexii_en_40858.pdf
Austria Datenschutzbehörde – Republik Österreich
Belgium Commission de la Protection de la Vie Privee (CPVP)
Bulgaria Commission for Personal Data Protection (CPDP)
Croatia Agencija za zaštitu osobnih podataka (AZOP)
Cyprus Commissioner for Personal Data Protection
Czech Rebublic Office for Personal Data Protection
Denmark Datatilsynet
Estonia Estonian Data Protection Inspectorate (AKI)
European Union European Data Protection Supervisor
Finland Office of the Data Protection Ombudsman
France Commission nationale de l’informatique et des libertés (CNIL)
Germany Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)
Greece Hellenic Data Protection Authority (DPA)
Hungary Hungarian National Authority for Data Protection and Freedom of Information (NAIH)
Iceland Icelandic Data Protection Authority
Ireland Irish Data Protection Commissioner
Italy Garante per la Protezione dei Dati Personali
Latvia Data State Inspectorate of Latvia (DVI)
Liechtenstein Datenschutzstelle (DSS) Liechtenstein
Lithuania State Data Protection Lithuania
Luxembourg Commission Nationale pour la Protection des Donees (CNPD)
Malta Office of the Information and Data Protection Commissioner (IDPC)
Netherlands Autoriteit Persoonsgegevens
Norway Datatilsynet Norway
Poland Bureau of the Inspector General for the Protection of Personal Data (GIODO)
Portugal Comissio National de Proteccao de Dados (CNPD)
Romania National Supervisory Authority for Personal Data Processing
Slovakia Office for Personal Data Protection of the Slovak Republic
Slovenia Information Commissioner Slovenia
Spain Agencia Espanola de Proteccion de Dattos (AEPD)
Sweden Swedish Data Protection Authority
Switzerland Federal Data Protection and Information Commissioner (FDPIC)
United Kingdom Information Commissioner’s Office (ICO)
Полезные ссылки
• The Article 29 Working Party: «Guidelines on Personal data breach notification under
Regulation 2016/679» (wp250rev.01)
https://iapp.org/media/pdf/resource_center/WP29-Breach-notification_02-2018.pdf
• Guide to the GDPR (глава «Personal data breaches»)
https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr
• Notification of data security breaches to the Information Commissioner’s Office (ICO)
https://ico.org.uk/media/for-organisations/documents/1536/breach_reporting.pdf
• Страница «Report a breach» от ICO
https://ico.org.uk/for-organisations/report-a-breach
Спасибо!