חוקי הפרת נתונים והודעות

1) מבוא ומטרות

דליפת נתונים אינה רק תקרית טכנית, אלא גם הליך משפטי עם מועדים ברורים, כתובות ודרישות רשמיות לתוכן הודעות. טעויות בשעות המוקדמות מגדילות את הסיכון לקנסות, תביעות ייצוגיות והפסדי מוניטין. חומר זה הוא מפת דרכים מעשית עבור פלטפורמות B2C (כולל iGaming/fintech) המסייעת לפעול בסינכרון: אבטחה, עורכי דין, יחסי ציבור, תמיכה בלקוחות וציות.

2) מה נחשב ל ”דליפת מידע אישי” ‏

תקרית ביטחונית אישית שנגרמה כתוצאה מהרס מקרי או בלתי חוקי, אובדן, שינוי, גישה או חשיפה של נתונים אישיים. העובדה של סיכון לזכויות ולחירויות של נתינים (סודיות, פגיעה כספית, אפליה, זיוף וכו ') חשובה.

3) תפקידים ואחריות

מפקח (מפעיל) - קובע את המטרות ואמצעי העיבוד; נושא באחריות העיקרית להודעות, חשבונאות ובחירת בסיס משפטי.
מעבד (מעבד/קבלן) - נתוני תהליכים מטעם; יש להודיע לבקר ללא דיחוי ולסייע בחקירות ובהודעות.
מפקחים משותפים - לתאם נקודת מגע אחת ולהקצות תחומי אחריות בהסכם.

4) סף הודעה: שלוש רמות סיכון

1. אין סיכון (למשל. מדיה מוצפנת עם מפתחות חזקים, מפתחות לא נפרצו) = = רישום תקריות, אין הודעות חיצוניות.
2. סיכון (יש אפשרות לנזק) = הודעה של הרגולטור בזמן.
3. סיכון גבוה (סביר להניח לנזק משמעותי: כספים, בריאות, ילדים, דליפות מסיביות, קבוצות פגיעות).

5) תקופות הודעה (סימני ספסל למצבי מפתח)

האיחוד האירופי/EEA (GDPR): הבקר מודיע לרגולטור בתוך 72 שעות לאחר היוודע הדליפה; נושאים ”ללא עיכוב מיותר” אם הסיכון גבוה.
UK GDPR/ICO: בדומה לווסת 72 שעות; לשמור על רישום של תקריות.
לקנדה (פיפדה): לרגולטור וישויות - בהקדם האפשרי אם ”סיכון ממשי לנזק משמעותי”; לשמור על קופה לפחות 24 חודשים.
ב-PDPC - בהקדם האפשרי, לא יאוחר מ-3 ימים לאחר סיום ההערכה; נושאים - ללא עיכוב בסיכון לפגיעה משמעותית.
ברזיל (LGPD): לווסת וישויות - ”בתוך זמן סביר”; ציון דרך - בהקדם האפשרי לאחר אישור.
UAE (פד. PDPL )/ADGM/DIFC: ברוב המקרים - הודעה על הרגולטור בתוך 72 שעות בסיכון גבוה.
אוסטרליה (NDB): הערכה של עד 30 יום; הודעה ”בהקדם האפשרי” לאחר אישור האירוע ”הודעה”.
מועדים שונים (לעתים ”ללא עיכוב מיותר”, לפעמים 30-60 יום). הסף לנפח וסוגים של נתונים, הודעה של התובע הכללי/סוכנויות במקרה של תקריות גדולות.
הודו (DPDP): הודעות לווסת/ישויות - בהתאם להליך שקבע הרגולטור; לפעול מיד לאחר זיהוי.

💡 שים לב: מועדים ספציפיים וסף מעודכנים; תקליט אותם ב ”מטריקס הכפרי” שלך וסקירה רבעונית.

6) מה צריך להיות בהודעות

לרגולטור:

תיאור קצר של האירוע וציר זמן;
קטגוריות ונפח משוער של נתונים ונושאים מושפעים;
השלכות סבירות;
צעדים שננקטו או הוצעו (הפרדה, מניעת הישנות);
קשר DPO/קבוצה אחראית
סטטוס: הודעה ראשונית עם פתק על התוספת הבאה (אם לא כל העובדות מוכנות).

נושאי נתונים (משתמשים):

מה קרה בשפה פשוטה ומתי;
מה הנתונים שלהם מושפעים ותוצאות אפשריות;
מה שכבר נעשה (מנעולים, שינויי מפתח, סיבוב סיסמאות כפוי וכו ');
מה המשתמש יכול לעשות (2FA, שינוי סיסמה, ניטור חשבון/אשראי);
ערוצי תמיכה, שירותים חופשיים (למשל, ניטור אשראי במקרה של דליפת מידע פיננסי).

7) עיכוב הודעה זמין

במספר משטרים ניתן לעכב את ההודעה לבקשת רשויות החוק אם הגילוי המיידי יפריע לחקירה. רשום את הסיבה ואת תקופת החסד בכתב.

8) הצפנה ונמל מבטחים

חוקים רבים פטור נבדקים מהודעה אם המידע כבר מוצפן באופן מאובטח והמפתחות אינם בסכנה. אלגוריתמי מסמך/ניהול מפתחות; לחבר את הרציונל הטכני לרשם האירוע.

9) נוהל תגובה: ”72 שעות ראשונות”

T0-4 h.

הפעל את תוכנית האינפרא-אור; הקצאת מוביל (SIRT, עורך דין, יחסי ציבור, DPO).
בידוד וקטור ההתקפה, אוסף חפצים (יומנים, מצרכים), תיקון זמן המערכת.
הסמכה עיקרית: נתונים אישיים? אילו קטגוריות? נפח? גאוגרפיה? קבלנים?

T4-24 h.

הערכת סיכונים: השפעה על זכויות וחירויות; ילדים/מימון/בריאות.
פתרון: להודיע לווסת? (אם כן, אנו מכינים ”הודעה ראשונית”).
טיוטת הודעות לנבדקים + FAQ לתמיכה; הודעות יחסי ציבור.
אימות של קבלנים/מעבדים: בקשה לדיווחים, רישומי אירועים.

T24-72 h.

שולח הודעה לרגולטור (אם נדרש); שליחת כריתת עצים.
פיניקליזציה של קבוצה של אמצעים להקלה (שינוי סיסמה מאולץ, סיבוב מפתח, מגבלות זמן לפעולות, 2FA).
הכן הצהרה פומבית (אם מתאים), הפעל קו חם/בוט.

אחרי 72 שעות.

דיווחים נוספים לווסת כפי שהם מובהרים; לאחר המוות; עדכון מדיניות ובקרה.

10) ניהול קבלנים ושרשרת עיבוד

אחריות DPAs/מעבד חוזית: ”הודעה מיידית”, ערוצי קשר 24/7, SLAs לכל דיווח ראשוני (למשל. 24 שעות).
זכותו של הבקר לבדוק את אמצעי ההגנה.
הקלטה חובה של כל התקריות והצעדים שנקטו הקבלנים.
מאריך התחייבויות למעבדי משנה.

11) קטגוריות מיוחדות וקבוצות סיכון

ילדים, בריאות, כספים, ביומטריה, אישורים - כמעט תמיד בסיכון גבוה להודעת עדיפות לנבדקים.
דליפות משולבות (PII + credits/askens) * סיבוב מיידי כפוי ונכות סמלית.
יש מדינות/מדינות שדורשות הודעה על בירוקרטיה/אומבאדסמן בכמויות גדולות.

12) תוכן וצורת תקשורת

שפה פשוטה (B1), ללא ז 'רגון טכני.
התאמה אישית של בקשות, אם אפשר; אחרת - הודעה פומבית ודואר אלקטרוני/לדחוף בצירוף.
ערוצים: דואר אלקטרוני + SMS/push (אם קריטי) + באנר בחשבון שלך; למקרים המוניים - פוסט ציבורי ורשות התעופה הפדרלית.
אל תכלול קישורים דמויי פיש במיילים; מציע נתיב דרך האתר הרשמי/אפליקציה.

13) תיעוד תיעוד ואחסון

יומן אירועים: תאריך/זמן, דיסקברי, סיווג, הודעת החלטה והצדקה, הודעות טקסטים, רשימות דואר, הוכחות למוקד, תגובות רגולטוריות, מדידות מחדש.
חיי מדף - לפי המשטר (למשל, פיפדה - לפחות 24 חודשים; לאחרים - תקופה פנימית של 3-6 שנים).

14) סנקציות ואחריות

קנסות של רגולטורים (באיחוד האירופי - משמעותיים במקרה של הפרות מערכתיות או התעלמות ממועדים);

תביעות על נושאים, פקודות לשינוי שיטות הבטיחות;

מעקב אחרי התקרית ודיווח על התחייבויות.

15) שגיאות אופייניות

דחייה בשל ”פרפקציוניזם”: המתנה לתמונה המלאה במקום הודעה מוקדמת בזמן.
לזלזל בסיכונים עקיפים (לדוג אחרי דואר אלקטרוני + דליפת שם מלא).
חוסר עקביות בין קבוצות (עורכי דין/יחסי ציבור/ביטחון/תמיכה).
קשרים לא רלוונטיים של רגולטורים ו ”מטריקס כפרי”.
מתעלם מחובות חוזיות של מעבדים ותת-מעבדים.

16) רשימת מוכנות (לפני המקרה)

1. אישור מדיניות תגובה תקרית עם תפקידים וערוצים 24/7.
2. להקצות DPOs/אחראי Proxies כדי ליצור קשר עם רגולטורים.
3. הכינו את ”מטריקס כפרי”: תאריכים, יעדים, סף, צורות.
4. תבניות מוכנות של אותיות: לרגולטור, נושאים, מדיה, FAQ לתמיכה.
5. עדכן את רשם המעבדים, מפת הנתונים ורשימת המעבד/תת המעבד.
6. תעבוד על תרגילי שולחן כל 6-12 חודשים.
7. כלל ב DPA: "הודעה בתוך X שעות", דו "ח ראשוני חובה, יומני ביקורת.
8. אפשר הצפנה במנוחה ובמעבר, ניהול מפתחות, סיבוב סודי.
9. להקים ניטור של אנומליות גישה לנתונים והתראות אוטומטיות.
10. הכן את חוברת יחסי הציבור ומדיניות ההצהרה הציבורית.

17) מיני-מטריקס של תחום השיפוט (Summary Benchmark)

אזור/מצב	רגולטור	הודעה לרגולטור	הודעה לנבדקים	הערות מיוחדות
האיחוד האירופי/EEA (GDPR)	DPA לפי מדינה	72 שעות	אין עיכוב בסיכון גבוה	רשום את כל התקריות
GDPR בריטניה	אח "א	72 שעות	אין עיכוב בסיכון גבוה	הודעה אפילו על איתור מאוחר, עם הסבר
קנדה (פיפדה)	OPC	Cito citissimo	בהקדם האפשרי ב ”סכנת נזק ממשית” ‏	רישום תוך 24 חודשים
סינגפור (PDPA)	PDPC	3 ימים לאחר ההערכה	אין עיכוב בסיכון הערך	מבחני סף ”נזק משמעותי”
ברזיל (LGPD)	ANPD	זמן סביר	זמן סביר בסיכון	הודעה מוקדמת מומלצת
אוסטרליה (NDB)	OAIC	לאחר הערכת מצב שנמשכה 30 יום	Cito citissimo	”פריצת נתונים אופציונלית” קריטריונים
ארצות הברית (מדינות)	AG/אחר	משתנה (30-60 ימים. או ”אין עיכוב”)	כן, תלוי בסף	לעתים קרובות דרישות לשכת אשראי
UAE/ADGM/DIFC	טיקנובסקיה. גופות	לעתים קרובות ~ 72 שעות	בסיכון גבוה	בדוק כללים מקומיים
הודו (DPDP)	DP-body	על פי הנוהל שנקבע	על פי הנוהל שנקבע	בצע את הצווים של הרגולטור

(מטריקס - נקודת ייחוס. בדוק את התקנות הנוכחיות לפני השימוש.)

18) תבניות מסמך (שמור במאגר)

מדיניות תגובת אירוע + ריצה בספר 72h

הודעת הפרת נתונים - רגולטור (טיוטה/ראשונית/סופית)

הודעה על הפרת נתונים - יחידים (דואר אלקטרוני/SMS/aguessible/FAQ)

לחץ על הצהרה & Q&A

טופס דיווח פריצת מעבד (לקבלנים)

לקחים שנלמדו/תבנית שלאחר המוות

מטריקס כפרי. xlsx (אנשי קשר רגולטור, מועדים, סף)

19) נסיגה

מעבר מוצלח של ”המסדרון המשפטי” במקרה של דליפה הוא מהירות + תיעוד + תקשורת שקופה. העיקרון הוא פשוט: הודעה מוקדמת מהירה, הוראות ברורות למשתמשים, תיאום ברור עם רגולטורים וקבלנים, ולאחר מכן הבהרה נוספת של פרטים ככל שהחקירה מתקדמת. תרגילים קבועים ומעודכנים של תבניות מפחיתים סיכונים משפטיים ומוניטין ברגע הקריטי ביותר.

💡 החומר הוא של טבע סקירה ואינו ייעוץ משפטי. לפני שפעל בתחום שיפוט מסוים, להיוועץ בתקנות מקומיות ולקבל מסקנת פרופיל.

חוקי הפרת נתונים והודעות

(מטריקס - נקודת ייחוס. בדוק את התקנות הנוכחיות לפני השימוש.)

צרו קשר

חיבור מהיר

הווידאו יעודכן בקרוב

אנחנו עמוסים מאוד בפרויקטים כרגע