Актуальные вопросы

GDPR: Утечки ПДн

Прозоров Андрей, CISM
80na20.blogspot.ru

2018-04-12
http://breachlevelindex.com
Article 4
Definitions
(12) «Personal data breach» means a breach
of security leading to the accidental or
unlawful destruction, loss, alteration,
unauthorised disclosure of, or access to,
personal data transmitted, stored or
otherwise processed.
Статья 4
Понятийно-терминологическая основа
(12) «Утечка персональных данных» –
означает нарушение безопасности,
приводящее к случайному или
противозаконному уничтожению, потере,
изменению, несанкционированному
раскрытию или доступу к персональным
данным, переданных, хранящихся или
обработанных иным образом.
Почему важно контролировать утечки?

GDPR: “(85) Утечка персональных данных, если она надлежащим образом и

своевременно не была устранена, может привести к физическому,
материальному или нематериальному ущербу для физических лиц, таким
как утрата контроля над персональными данными или ограничение их прав,
дискриминация, кража идентификационных данных или мошенничество с
персональными данными, финансовые потери, несанкционированный отказ
от псевдонимизации, ущерб репутации, нарушение конфиденциальности
персональных данных, защищённых профессиональной тайной, или любые
иные существенные экономические или социальные потери для
соответствующих физических лиц…”
Уведомление об утечках по GDPR

Supervisory authority Data subjects

(Надзорный орган) (Субъекты данных)
Art.33 Art.34
Article 33 Статья 33
Notification of a personal data breach to Уведомление надзорного органа об
the supervisory authority утечке персональных данных

1.In the case of a personal data breach, the1.В случае утечки персональных данных
controller shall without undue delay and, контролёр, без неоправданной задержки и,
where feasible, not later than 72 hours after
при наличии соответствующей
having become aware of it, notify the возможности, не позднее чем через 72
personal data breach to the supervisory часа после того, как он узнает об этом,
authority competent in accordance with уведомляет об утечке персональных
Article 55, unless the personal data breach is
данных компетентный надзорный орган в
unlikely to result in a risk to the rights and
соответствии со Статьей 55, кроме случаев,
freedoms of natural persons. Where the когда эта утечка персональных данных едва
notification to the supervisory authority is not
ли обернется рисками для прав и свобод
made within 72 hours, it shall be физических лиц. В случае если
accompanied by reasons for the delay. уведомление надзорного органа не
произведено в течение 72 часов, в нем
должны быть указать причины задержки.
2.The processor shall notify the controller 2.Обработчик должен уведомить
without undue delay after becoming aware of контролёра без неоправданной задержки
a personal data breach. об утечке персональных данных как только
ему стало известно об утечке персональных
данных.
3.The notification referred to in paragraph 1
shall at least:
(a) describe the nature of the personal data
breach including where possible, the
categories and approximate number of data
subjects concerned and the categories and
approximate number of personal data records
concerned;
(b) communicate the name and contact
details of the data protection officer or other
contact point where more information can be
obtained;
(c) describe the likely consequences of the
personal data breach;
(d) describe the measures taken or proposed
to be taken by the controller to address the
personal data breach, including, where
appropriate, measures to mitigate its possible
adverse effects.
3.Уведомление, предусмотренное
параграфом 1, должно как минимум:
(a) описывать характер утечки
персональных данных, в том числе, когда
это возможно, категории и
приблизительное количество
соответствующих субъектов данных, а
также категории и приблизительное
количество соответствующих записей
персональных данных;
(b) сообщать наименование и реквизиты
инспектора по защите персональных
данных или иного контактного пункта, где
может быть получена более подробная
информация;
(c) описывать вероятные последствия
утечки персональных данных;
(d) описывать меры, предпринятые или
предполагаемые к принятию контролёром
в ответ на утечки персональных, в том
числе, в необходимых случаях, меры по
смягчению возможных неблагоприятных
последствий таких утечек.
4.Where, and in so far as, it is not possible to
provide the information at the same time, the
information may be provided in phases
without undue further delay.
5.The controller shall document any personal
data breaches, comprising the facts relating to
the personal data breach, its effects and the
remedial action taken. That documentation
shall enable the supervisory authority to
verify compliance with this Article.
4.Если, и в том случае когда, невозможно
предоставить информацию
единовременно, эта информация может
предоставляться поэтапно без
неоправданной дальнейшей задержки.
5.Контролёр должен документировать
любые утечки персональных данных,
содержащие факты, касающиеся утечки
персональных данных, их последствий, а
также предпринятых меры по устранению
последствий. Такая документация должна
позволять надзорному органу проверить
соблюдение настоящей Статьи.
Article 34
Communication of a personal data breach to
the data subject
1.When the personal data breach is likely to
result in a high risk to the rights and
freedoms of natural persons, the controller
shall communicate the personal data breach
to the data subject without undue delay.
2.The communication to the data subject
referred to in paragraph 1 of this Article shall
describe in clear and plain language the
nature of the personal data breach and
contain at least the information and
measures referred to in points (b), (c) and (d)
of Article 33(3).
Статья 34
Сообщение субъекту данных об утечке
персональных данных
1.В тех случаях, когда утечка персональных
данных, вероятнее всего приведет к
высокому риску для прав и свобод
физических лиц, контролёр должен
сообщить субъекту данных об утечке
персональных данных, без
необоснованной задержки.
2. Сообщение субъекту данных,
предусмотренное параграфом 1 настоящей
Статьи, должно излагать ясным и простым
языком характер утечки персональных
данных, а также содержать как минимум
информацию и меры, предусмотренные в
пунктах (b), (c) и (d) Статьи 33(3).
3.The communication to the data subject 3.Сообщение субъекту данных,
referred to in paragraph 1 shall not be required предусмотренное параграфом 1, не требуется,
if any of the following conditions are met: если выполнено любое из следующих
условий:
(a) the controller has implemented appropriate (a) контролёр принял надлежащие
technical and organisational protection технические и организационные меры
measures, and those measures were applied to защиты, и такие меры были применены в
the personal data affected by the personal data отношении персональных данных,
breach, in particular those that render the затронутых утечкой, в том числе и такие
personal data unintelligible to any person who is меры, которые отображают персональные
not authorised to access it, such as encryption; данные в непонятном виде для любого лица,
которое не имеет права доступа к ним, среди
которых криптографическая защита;
(b) the controller has taken subsequent (b) контролёр предпринял последующие
measures which ensure that the high risk to the меры, которые гарантируют, что высокий риск
rights and freedoms of data subjects referred to для прав и свобод субъектов данных,
in paragraph 1 is no longer likely to materialise; упомянутых в параграфе 1, больше не
способен получить вероятную реализацию;
(c) it would involve disproportionate effort. In (c) требуются несоразмерные усилия. В этом
such a case, there shall instead be a public случае, вместо этого делается сообщение для
communication or similar measure whereby the всеобщего сведения либо предпринимается
data subjects are informed in an equally effective аналогичная мера, посредством которой
manner. субъекты данных информируются
равнодействующим способом.
4.If the controller has not already
communicated the personal data breach to
the data subject, the supervisory authority,
having considered the likelihood of the
personal data breach resulting in a high risk,
may require it to do so or may decide that
any of the conditions referred to in
paragraph 3 are met.
4.Если контролёр еще не сообщил
субъекту данных об утечке персональных
данных, надзорный орган, рассмотрев
возможные последствия высокой степени
риска для прав и свобод физических лиц,
может потребовать сделать такое
сообщение, либо может решить, что
любое из условий, предусмотренных
параграфом 3, выполнены.
 Уведомление надзорного органа Уведомление субъектов
Когда можно • Если риск минимальный • Если риск НЕ большой
НЕ уведомлять • Если приняты надлежащие
меры (например,
криптографическая защита)
• Если приняты адекватные
последующие меры
• Если требуются
несоразмерные усилия

Состав • Характер утечки (категории и

уведомления количество пострадавших
субъектов и записей)
• Реквизиты DPO • Реквизиты DPO
• Возможные последствия • Возможные последствия
• Принятые меры • Принятые меры

Срок • Без неоправданной задержки • Без неоправданной

уведомления и, не позднее чем через задержки
72 часа после выявления
Что еще в GDPR?
• Ассоциации и иные организации, представляющие
категории контролёров или обработчиков, могут
разрабатывать кодексы поведения… в том числе, про
(i) уведомления надзорных органов об утечке
персональных данных и сообщение о таких утечках
персональных данных субъектам данных (Art.40.2)
• У надзорного органа есть право… (e) предписывать
контролёру сообщить субъекту данных об утечке
персональных данных (Art.58.2)
Возможен штраф до 10 000 000 Евро,
или применительно к хозяйствующему субъекту,
в размере до 2% от глобального годового
оборота (the total worldwide annual turnover)
хозяйствующего субъекта за весь предыдущий
финансовый год, в зависимости от того, какая
сумма больше…
Фух, успел
до 25 мая…
Кого и как уведомлять?
Внедрили ли вы процедуру
оповещения об утечках?

Нет; 23,8%
Да; 33,1%

В процессе; 43,1%
The Article 29 Working Party
Рекомендации от ICO

Information Commissioner's Office (ICO) –

The UK’s independent authority set up to
uphold information rights in the public
interest, promoting openness by public bodies
and data privacy for individuals.

https://ico.org.uk/for-organisations/report-a-
breach/personal-data-breach
 Форма уведомления ICO 1

Веб-форма - https://ico.org.uk/media/for-organisations/documents/2258298/personal-data-breach-report-form-web-dpa-2018.doc
Форма уведомления ICO
2
Определите свой надзорный орган
“Remember, in the case of a breach affecting individuals in different EU
countries, the ICO may not be the lead supervisory authority. This means
that as part of your breach response plan, you should establish which
European data protection agency would be your lead supervisory
authority for the processing activities that have been subject to the
breach.”
The Article 29 Working Party (“who your lead authority is?”):
• "Guidelines for identifying a controller or processor’s lead supervisory
authority" (WP 244 rev.01) -
https://iapp.org/media/pdf/resource_center/WP29-2017-04-lead-
authority-guidance.pdf
• FAQ -
http://ec.europa.eu/information_society/newsroom/image/document
/2016-51/wp244_annexii_en_40858.pdf
Austria Datenschutzbehörde – Republik Österreich
Belgium Commission de la Protection de la Vie Privee (CPVP)
Bulgaria Commission for Personal Data Protection (CPDP)
Croatia Agencija za zaštitu osobnih podataka (AZOP)
Cyprus Commissioner for Personal Data Protection
Czech Rebublic Office for Personal Data Protection
Denmark Datatilsynet
Estonia Estonian Data Protection Inspectorate (AKI)
European Union European Data Protection Supervisor
Finland Office of the Data Protection Ombudsman
France Commission nationale de l’informatique et des libertés (CNIL)
Germany Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)
Greece Hellenic Data Protection Authority (DPA)
Hungary Hungarian National Authority for Data Protection and Freedom of Information (NAIH)
Iceland Icelandic Data Protection Authority
Ireland Irish Data Protection Commissioner
Italy Garante per la Protezione dei Dati Personali
Latvia Data State Inspectorate of Latvia (DVI)
Liechtenstein Datenschutzstelle (DSS) Liechtenstein
Lithuania State Data Protection Lithuania
Luxembourg Commission Nationale pour la Protection des Donees (CNPD)
Malta Office of the Information and Data Protection Commissioner (IDPC)
Netherlands Autoriteit Persoonsgegevens
Norway Datatilsynet Norway
Poland Bureau of the Inspector General for the Protection of Personal Data (GIODO)
Portugal Comissio National de Proteccao de Dados (CNPD)
Romania National Supervisory Authority for Personal Data Processing
Slovakia Office for Personal Data Protection of the Slovak Republic
Slovenia Information Commissioner Slovenia
Spain Agencia Espanola de Proteccion de Dattos (AEPD)
Sweden Swedish Data Protection Authority
Switzerland Federal Data Protection and Information Commissioner (FDPIC)
United Kingdom Information Commissioner’s Office (ICO)
 Полезные ссылки

• The Article 29 Working Party: «Guidelines on Personal data breach notification under
Regulation 2016/679» (wp250rev.01)
https://iapp.org/media/pdf/resource_center/WP29-Breach-notification_02-2018.pdf
• Guide to the GDPR (глава «Personal data breaches»)
https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr
• Notification of data security breaches to the Information Commissioner’s Office (ICO)
https://ico.org.uk/media/for-organisations/documents/1536/breach_reporting.pdf
• Страница «Report a breach» от ICO
https://ico.org.uk/for-organisations/report-a-breach
 Спасибо!

Прозоров Андрей, CISM

80na20.blogspot.ru