قوانين وإخطارات خرق البيانات

1) مقدمة وأهداف

وتسرب البيانات ليس حادثا تقنيا فحسب، بل هو أيضا إجراء قانوني له مواعيد نهائية واضحة ومرسل إليه ومتطلبات رسمية لمحتوى الإخطارات. تزيد الأخطاء في الساعات الأولى من مخاطر الغرامات والدعاوى الجماعية وخسائر السمعة. هذه المادة هي خارطة طريق عملية لمنصات B2C (بما في ذلك iGaming/fintech) تساعد على العمل بشكل متزامن: الأمن والمحامون والعلاقات العامة ودعم العملاء والامتثال.

2) ما يعتبر «تسرب بيانات شخصية»

حادث أمني شخصي يؤدي إلى تدمير عرضي أو غير قانوني أو فقدان أو تغيير أو الوصول غير المعلن إلى البيانات الشخصية أو الكشف عنها. ومن المهم وجود خطر على حقوق وحريات الأشخاص (السرية، والضرر المالي، والتمييز، والتصيد، وما إلى ذلك).

3) الأدوار والمسؤوليات

المشرف (المشغل) - يحدد أهداف ووسائل التجهيز ؛ تتحمل المسؤولية الرئيسية عن الإخطارات والمحاسبة واختيار الأسس القانونية.
المعالج (المعالج/المقاول) - يعالج البيانات نيابة عن ؛ يجب أن يخطر المراقب المالي دون تأخير وأن يساعد في التحقيقات والإخطارات.
المشرفون المشتركون - تنسيق نقطة اتصال واحدة وتحديد مجالات المسؤولية في الاتفاق.

4) عتبة الإخطار: ثلاثة مستويات للمخاطر

1. لا يوجد خطر (على سبيل المثال وسائط مشفرة مع مفاتيح قوية، مفاتيح غير مخترقة) → تسجيل الحوادث، لا إشعارات خارجية.
2. الخطر (هناك احتمال حدوث ضرر) → إخطار المنظم في الوقت المحدد.
3. المخاطر العالية (من المحتمل حدوث ضرر كبير: المالية، والصحة، والأطفال، والتسريبات الهائلة، والفئات الضعيفة) → وإخطار إضافي بالمواضيع بلغة مفهومة ودون تأخير.

5) فترات الإخطار (المعايير المرجعية للوسائط الرئيسية)

الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية (GDPR): يخطر المراقب المنظم في غضون 72 ساعة من علمه بالتسرب ؛ - «دون تأخير لا مبرر له» إذا كان الخطر مرتفعا.
اللائحة العامة لحماية البيانات في المملكة المتحدة/ICO: على غرار منظم 72 ساعة ؛ الاحتفاظ بسجل للحوادث.
كندا (PIPEDA): إلى المنظم والكيانات - في أقرب وقت ممكن إذا كان «خطر حدوث ضرر كبير حقيقي» ؛ احتفظ بسجل لمدة 24 شهرًا على الأقل.
سنغافورة (PDPA): في PDPC - في أقرب وقت ممكن، في موعد لا يتجاوز 3 أيام بعد الانتهاء من التقييم ؛ - دون تأخير في خطر وقوع ضرر ذي شأن.
البرازيل (LGPD): إلى المنظم والكيانات - «في غضون وقت معقول» ؛ معلم تاريخي - في أقرب وقت ممكن بعد التأكيد.
الإمارات العربية المتحدة (إطعام. PDPL )/ADGM/DIFC: في معظم الحالات - إخطار المنظم في غضون 72 ساعة ~ معرضة لخطر كبير.
أستراليا (مصرف التنمية الوطني): الأنصبة المقررة لمدة تصل إلى 30 يوما ؛ الإخطار «في أقرب وقت ممكن» بعد تأكيد الحادث «القابل للإخطار».
الولايات المتحدة (قوانين الولاية): تختلف المواعيد النهائية (غالبًا «دون تأخير لا داعي له»، وأحيانًا تكون 30-60 يومًا ثابتة). عتبات حجم البيانات وأنواعها، وإخطار المدعي العام/الوكالات في حالة وقوع حوادث كبيرة.
الهند (DPDP): إخطارات إلى المنظم/الكيانات - وفقًا للإجراء الذي وضعه المنظم ؛ على الفور بعد تحديد الهوية.

6) ما يجب أن يكون في الإخطارات

• ووصف موجز للحادث وجدول زمني ؛
• والفئات والحجم التقريبي للبيانات والمواضيع المتأثرة ؛
• والعواقب المحتملة ؛
• والتدابير المتخذة أو المقترحة (التخفيف ومنع التكرار) ؛
• الاتصال بالمكتب/الفريق المسؤول
• :: رسالة أولية مشفوعة بمذكرة عن الإضافة اللاحقة (إن لم تكن جميع الوقائع مثبتة).

• وما حدث بلغة واضحة ومتى ؛
• وما هي بياناتها المتأثرة والعواقب المحتملة ؛
• وما سبق عمله (الأقفال، والتغييرات الرئيسية، والتناوب القسري لكلمة السر، وما إلى ذلك) ؛
• ما يمكن للمستخدم أن يفعله (2FA، تغيير كلمة المرور، مراقبة الحساب/الائتمان) ؛
• ، والخدمات المجانية (مثل رصد الائتمان في حالة تسرب البيانات المالية).

7) تأخير الإخطار المسموح به

وفي عدد من النظم، يمكن تأجيل الإخطار بناء على طلب أجهزة إنفاذ القانون إذا كان الكشف الفوري يتعارض مع التحقيق. سجل السبب وفترة السماح كتابة.

8) التشفير والملاذ الآمن

تعفي العديد من القوانين الأشخاص من الإخطار إذا تم تشفير البيانات بشكل آمن ولم يتم اختراق المفاتيح. خوارزميات الوثائق/إدارة المفاتيح ؛ ترفق بالأساس المنطقي التقني لسجل الحوادث.

9) إجراء الرد: الجدول الزمني «أول 72 ساعة»

T0-4 ح.

تفعيل خطة الإبلاغ الدولي ؛ تعيين خيوط (SIRT، محام، PR، DPO).
عزل ناقل الهجوم، جمع القطع الأثرية (جذوع الأشجار، المقالب)، تثبيت وقت النظام.

المؤهل الأساسي: البيانات الشخصية ؟ ما هي الفئات ؟ الحجم ؟ الجغرافيا ؟ المقاولون ؟

T4-24 ح.

تقييم المخاطر: التأثير على الحقوق والحريات ؛ الأطفال/التمويل/الصحة.
الحل: إخطار المنظم ؟ (إذا كانت الإجابة بنعم، فإننا نعد «إشعارا أوليا»).
مشروع إخطارات للمواضيع + الأسئلة الشائعة للحصول على الدعم ؛ رسائل العلاقات العامة.
التحقق من المتعاقدين/المعالجين: طلب التقارير، سجلات الأحداث.

T24-72 ح.

إرسال إشعار إلى الجهة التنظيمية (عند الاقتضاء) ؛ إرسال قطع الأشجار.
وضع الصيغة النهائية لمجموعة من تدابير التخفيف (تغيير كلمة السر القسري، تناوب المفاتيح، الحدود الزمنية للعمليات، 2FA).
إعداد بيان عام (عند الاقتضاء)، وإطلاق خط ساخن/روبوت.

بعد 72 ساعة.

تقديم تقارير إضافية إلى الهيئة التنظيمية عند توضيحها ؛ وتشريح الجثة ؛ وتحديث السياسات والضوابط.

10) إدارة المتعاقدين وسلسلة التجهيز

مسؤوليات إدارة الشؤون السياسية/المعالج التعاقدية: «الإخطار الفوري»، 24/7 قنوات الاتصال، واتفاقات الأمن الخاصة لكل تقرير أولي (مثلاً) 24 ساعة).
حق المراقب المالي في مراجعة/التحقق من تدابير الحماية.
التسجيل الإلزامي لجميع حوادث المتعاقدين والتدابير المتخذة.
توسيع نطاق الالتزامات لتشمل المعالجين الفرعيين.

11) الفئات الخاصة والفئات المعرضة للخطر

الأطفال، والصحة، والشؤون المالية، والقياسات الحيوية، وأوراق الاعتماد - دائمًا ما تكون عالية المخاطر → الإخطار بالأولوية للأشخاص.
التسريبات المجمعة (أرصدة/رموز PII +) → التناوب القسري الفوري والإعاقة الرمزية.
جغرافي محدد: تحتاج بعض الدول/البلدان إلى إخطار مكاتب الائتمان/أمين المظالم على نطاق واسع.

12) محتوى البلاغات وشكلها

لغة عادية (B1)، بدون مصطلحات فنية.
إضفاء الطابع الشخصي على الطلبات، إن أمكن ؛ خلاف ذلك - إعلان عام وبريد إلكتروني/دفعة مجتمعة.
القنوات: البريد الإلكتروني + الرسائل القصيرة/الدفع (إذا كانت حرجة) + لافتة في حسابك ؛ للقضايا الجماعية - الوظائف العامة والأسئلة الشائعة.
لا تدرج روابط تشبه التصيد في رسائل البريد الإلكتروني ؛ اقترح مسارًا عبر الموقع/التطبيق الرسمي.

13) تسجيل الوثائق والتخزين

سجل الحوادث: التاريخ/الوقت، الاكتشاف، التصنيف، قرار الإخطار والتبرير، نصوص الإخطار، القوائم البريدية، إثبات الإرسال، الردود التنظيمية، تدابير الإصلاح.
مدة الصلاحية - وفقاً للنظام (مثل PIPEDA - 24 شهراً على الأقل ؛ للآخرين - فترة داخلية تتراوح بين 3 و 6 سنوات).

14) الجزاءات والمسؤولية

غرامات المنظمين (في الاتحاد الأوروبي - كبيرة في حالة الانتهاكات المنهجية أو تجاهل المواعيد النهائية) ؛

مطالبات الأشخاص والأوامر بتغيير ممارسات السلامة ؛

التزامات الرصد والإبلاغ بعد الحوادث.

15) أخطاء نموذجية

التأخير بسبب «الكمال»: انتظار الصورة الكاملة بدلاً من الإشعار المسبق في الوقت المناسب.
التقليل من المخاطر غير المباشرة (التصيد الاحتيالي بعد البريد الإلكتروني + تسريب الاسم الكامل).
عدم الاتساق بين الأفرقة (المحامون/العلاقات العامة/الأمن/الدعم).
اتصالات غير ذات صلة للمنظمين و «مصفوفة البلد».
تجاهل الالتزامات التعاقدية للمجهزين والمجهزين الفرعيين.

16) قائمة الجاهزية المرجعية (قبل الحادث)

1. الموافقة على سياسة الاستجابة للحوادث بأدوار وقنوات 24/7.
2. تكليف منظمات الأشخاص ذوي الإعاقة/المسؤولين والوكلاء بالاتصال بالجهات التنظيمية.
3. إعداد مصفوفة البلد: التواريخ والوجهات والعتبات والنماذج.
4. نماذج الحروف الجاهزة: إلى المنظم والموضوعات ووسائل الإعلام والأسئلة الشائعة للحصول على الدعم.
5. تحديث سجل المعالجة وخريطة البيانات وقائمة المعالج/المعالج الفرعي.
6. اعمل على تمارين أعلى الطاولة كل 6-12 شهرًا.
7. تضمين DPA: «الإخطار في غضون X ساعة»، التقرير الأولي الإلزامي، سجلات التدقيق.
8. مكّن التشفير في الراحة وفي العبور، إدارة المفتاح، التناوب السري.
9. تحديد رصد حالات الشذوذ في الوصول إلى البيانات والتنبيهات التلقائية.
10. قم بإعداد دليل العلاقات العامة وسياسة البيان العام.

17) مصفوفة مصغرة للولايات القضائية (معيار موجز)

(مصفوفة - نقطة مرجعية. تحقق من اللوائح الحالية قبل الاستخدام.)

18) نماذج المستندات (احتفظ بها في المستودع)

سياسة الاستجابة للحوادث + كتاب التشغيل 72 ساعة

إخطار خرق البيانات - المنظم (مشروع/تمهيدي/نهائي)

إخطار خرق البيانات - الأفراد (mail/SMS/баннер/FAQ)

بيان صحفي وأسئلة وأجوبة

نموذج تقرير خرق المعالج (للمقاولين)

الدروس المستفادة/نموذج ما بعد الوفاة

مصفوفة البلد. xlsx (اتصالات المنظم، المواعيد النهائية، العتبات)

19) الانسحاب

المرور الناجح لـ «الممر القانوني» في حالة حدوث تسرب هو السرعة + التوثيق + الاتصال الشفاف. المبدأ بسيط: إخطار مسبق سريع، تعليمات واضحة للمستخدمين، تنسيق واضح مع المنظمين والمقاولين، ثم مزيد من التوضيح للتفاصيل مع تقدم التحقيق. تقلل التمارين المنتظمة ومجموعة محدثة من النماذج من المخاطر القانونية والسمعة في أكثر اللحظات خطورة.