डेटा उल्लंघन कानून और सूचनाएं

1) परिचय और उद्देश्य

डेटा रिसाव न केवल एक तकनीकी घटना है, बल्कि सूचनाओं की सामग्री के लिए स्पष्ट समय सीमा, पते और औपचारिक आवश्यकताओं के साथ एक कानूनी प्रक्रिया भी है। शुरुआती घंटों में गलतियों से जुर्माना, वर्ग कार्रवाई और प्रतिष्ठित नुकसान का खतरा बढ़ जाता है। यह सामग्री B2C प्लेटफार्मों (iGaming/fintech सहित) के लिए एक व्यावहारिक रोडमैप है जो सिंक में कार्य करने में मदद करता है: सुरक्षा, वकील, पीआर, ग्राहक समर्थन और अनुपालन।

2) क्या "व्यक्तिगत डेटा लीक" माना जाता है

एक व्यक्तिगत सुरक्षा घटना जिसके परिणामस्वरूप आकस्मिक या गैरकानूनी विनाश, हानि, परिवर्तन, अज्ञात पहुंच या व्यक्तिगत डेटा का प्रकटीकरण होता है। विषयों के अधिकारों और स्वतंत्रता के लिए जोखिम का तथ्य (गोपनीयता, वित्तीय नुकसान, भेदभाव, फ़िशिंग, आदि) महत्वपूर्ण है।

3) भूमिकाएँ और जिम्मेदारियाँ

पर्यवेक्षक (ऑपरेटर) - प्रसंस्करण के लक्ष्यों और साधनों को निर्धारित करता है; सूचनाओं, लेखांकन और कानूनी आधारों के चयन के लिए प्राथमिक जिम्मेदारी वहन करता है।

प्रोसेसर (प्रोसेसर/ठेकेदार) - की ओर से डेटा प्रक्रिया; बिना देरी के नियंत्रक को सूचित करना चाहिए और जांच और सूचनाओं में सहायता करनी चाहिए।

संयुक्त पर्यवेक्षक - संपर्क के एक बिंदु का समन्वय करें और समझौते में जिम्मेदारी के क्षेत्रों को आवंटित करें।

4) अधिसूचना सीमा: तीन जोखिम स्तर

1. कोई जोखिम नहीं (उदा। मजबूत चाबियों के साथ एन्क्रिप्टेड मीडिया, चाबियों से समझौता नहीं किया गया) → घटना लॉगिंग, कोई बाहरी सूचना नहीं।

2. जोखिम (नुकसान की संभावना है) → समय पर नियामक की अधिसूचना।

3. उच्च जोखिम (महत्वपूर्ण नुकसान की संभावना है: वित्त, स्वास्थ्य, बच्चे, बड़े पैमाने पर लीक, कमजोर समूह) → समझने योग्य भाषा में और बिना देरी के विषयों की अतिरिक्त अधि

5) अधिसूचना अवधि (कुंजी मोड के लिए बेंचमार्क)

ईयू/ईईए (जीडीपीआर): नियंत्रक रिसाव के बारे में जागरूक होने के 72 घंटे के भीतर नियामक को सूचित करता है; जोखिम अधिक होने पर विषय - "अनुचित देरी के बिना"।

यूके जीडीपीआर/आईसीओ: 72 घंटे नियामक के समान; घटनाओं का एक रजिस्टर रखें।

कनाडा (PIPEDA): नियामक और संस्थाओं के लिए - जितनी जल्दी हो सके अगर "पर्याप्त नुकसान का वास्तविक जोखिम"; कम से कम 24 महीने के लिए एक रजिस्टर रखें।

सिंगापुर (पीडीपीए): पीडीपीसी में - जितनी जल्दी हो सके, मूल्यांकन पूरा होने के 3 दिन बाद भी नहीं; विषय - महत्वपूर्ण नुकसान के जोखिम में देरी के बि

ब्राजील (LGPD): नियामक और संस्थाओं के लिए - "एक उचित समय के भीतर"; मील का पत्थर - पुष्टि के बाद जितनी जल्दी हो सके।

यूएई (खिलाया गया। पीडीपीएल )/एडीजीएम/डीआईएफसी: अधिकांश मामलों में - उच्च जोखिम पर ~ 72 घंटे के भीतर नियामक की अधिसूचना।

ऑस्ट्रेलिया (NDB): 30 दिनों तक का मूल्यांकन; "अधिसूचनीय" घटना की पुष्टि के बाद अधिसूचना "जितनी जल्दी हो सके"।

अमेरिका (राज्य कानून): समय सीमा भिन्न होती है (अक्सर "अनुचित देरी के बिना", कभी-कभी एक निश्चित 30-60 दिन)। प्रमुख घटनाओं के मामले में मात्रा और प्रकार के डेटा, अभियोजक जनरल/एजेंसियों की अधिसूचना के लिए थ्रेसहोल्ड।

भारत (डीपीडीपी): नियामक/संस्थाओं को अधिसूचना - नियामक द्वारा स्थापित प्रक्रिया के अनुसार; पहचान के तुरंत बाद कार्य करें।

💡 नोट: विशिष्ट समय सीमा और थ्रेसहोल्ड अद्यतन हैं; उन्हें अपने "कंट्री मैट्रिक्स" में रिकॉर्ड करें और तिमाही की समीक्षा करें।

6) सूचनाओं में क्या होना चाहिए

नियामक के लिए:

घटना का एक संक्षिप्त विवरण और एक समयरेखा;
प्रभावित डेटा और विषयों की श्रेणियां और अनुमानित मात्रा;
संभावित परिणाम;
उपाय किए गए या प्रस्तावित (शमन, पुनरावृत्ति की रोकथाम);
डीपीओ/जिम्मेदार समूह संपर्क
स्थिति: बाद के जोड़ के बारे में एक नोट के साथ प्रारंभिक संदेश (यदि सभी तथ्य स्थापित नहीं हैं)।

डेटा विषय (उपयोगकर्ता):

सादी भाषा में क्या हुआ और कब;
उनका डेटा क्या प्रभावित और संभावित परिणा
पहले ही क्या किया जा चुका है (ताले, महत्वपूर्ण परिवर्तन, जबरन पासवर्ड रोटेशन, आदि);
उपयोगकर्ता क्या कर सकता है (2FA, पासवर्ड परिवर्तन, खाता/क्रेडिट निगरानी);
समर्थन चैनल, मुफ्त सेवाएं (उदाहरण के लिए, वित्तीय डेटा रिसाव के मामले में क्रेडिट निगरानी)।

7) स्वीकार्य अधिसूचना में देरी

कई शासनों में, कानून प्रवर्तन के अनुरोध पर अधिसूचना में देरी हो सकती है यदि तत्काल प्रकटीकरण जांच में हस्तक्षेप करता है। कारण और अनुग्रह अवधि को लिखित रूप में दर्ज करें।

8) एन्क्रिप्शन और सुरक्षित बंदरगाह

कई कानून विषयों को अधिसूचना से छूट देते हैं यदि डेटा को सुरक्षित रूप से एन्क्रिप्ट किया गया है और चाबियों से समझौता नहीं किया गया है। दस्तावेज़ एल्गोरिदम/कुंजी प्रबंधन; घटना रजिस्टर में तकनीकी औचित्य संलग्न करें।

9) प्रतिक्रिया प्रक्रिया: "पहले 72 घंटे" समयरेखा

T0-4 एच।

आईआर योजना को सक्रिय करें; असाइन लीड (SIRT, वकील, PR, DPO)।

हमले वेक्टर का अलगाव, कलाकृतियों का संग्रह (लॉग, डंप), सिस्टम समय को ठीक करना।

प्राथमिक योग्यता: व्यक्तिगत डेटा? कौन सी श्रेणियां? वॉल्यूम? भूगोल? ठेकेदारों?

T4-24 एच।

जोखिम मूल्यांकन: अधिकारों और स्वतंत्रता पर प्रभाव; बच्चे/वित्त/स्वास्थ्य।

समाधान: नियामक को सूचित करना? (यदि हाँ, तो हम एक "प्रारंभिक नोटिस" तैयार कर रहे हैं)।

समर्थन के लिए विषयों + FAQ के लिए सूचनाओं का मसौदा; पीआर संदेश।

ठेकेदारों/प्रोसेसर का सत्यापन: रिपोर्ट के लिए अनुरोध, घटना लॉग।

T24-72 एच।

नियामक को अधिसूचना भेजना (यदि आवश्यक हो); लॉगिंग भेज रहा है।

शमन उपायों के एक सेट को अंतिम रूप देना (मजबूर पासवर्ड परिवर्तन, कुंजी रोटेशन, संचालन के लिए समय सीमा, 2FA)।

सार्वजनिक विवरण तैयार करें (यदि उपयुक्त हो), हॉटलाइन/बॉट लॉन्च

72 घंटे के बाद।

नियामक को अतिरिक्त रिपोर्ट क्योंकि वे स्पष्ट हैं; पोस्टमार्टम; नीतियों और नियंत्रणों को अद्यतन करना।

10) ठेकेदारों और प्रसंस्करण श्रृंखला का प्रबंधन

संविदात्मक डीपीए/प्रोसेसर जिम्मेदारियां: "तत्काल अधिसूचना", 24/7 संपर्क चैनल, एसएलए प्रति प्रारंभिक रिपोर्ट (उदा। 24 घंटे)।

सुरक्षा उपायों की लेखापरीक्षा/जांच करने का नियंत्रक का अधिकार।

सभी ठेकेदार घटनाओं और उपायों की अनिवार्य रिकॉर्डिंग।

उप-प्रोसेसर के लिए दायित्वों का विस्तार।

11) विशेष श्रेणियां और जोखिम समूह

बच्चे, स्वास्थ्य, वित्त, बायोमेट्रिक्स, साख - लगभग हमेशा उच्च जोखिम - विषयों की प्राथमिकता अधिसूचना।

संयुक्त लीक (PII + क्रेडिट/टोकन) → तत्काल मजबूर रोटेशन और टोकन विकलांगता।

भू-विशिष्ट: कुछ राज्यों/देशों को बड़े पैमाने पर क्रेडिट ब्यूरो/लोकपाल की अधिसूचना की आवश्यकता होती है।

12) संचार की सामग्री और रूप

तकनीकी शब्दजाल के बिना सादा भाषा (बी 1)।

अनुरोधों का निजीकरण, यदि संभव हो; अन्यथा - एक सार्वजनिक घोषणा और संयोजन में ई-मेल/पुश।

चैनल: ई-मेल + एसएमएस/पुश (यदि महत्वपूर्ण है) + बैनर आपके खाते में; सामूहिक मामलों के लिए - सार्वजनिक पद और एफएक्यू।

ईमेल में फ़िशिंग जैसे लिंक शामिल न करें; आधिकारिक वेबसाइट/ऐप के माध्यम से एक रास्ता

13) रिकॉर्ड प्रलेखन और भंडारण

हादसा लॉग: दिनांक/समय, डिस्कवरी, वर्गीकरण, अधिसूचना निर्णय और औचित्य, अधिसूचना ग्रंथ, मेलिंग सूची, प्रमाण प्रेषण, नियामक प्रतिक्रिया, विमुद्रीकरण उपाय।

शेल्फ जीवन - शासन के अनुसार (उदाहरण के लिए, PIPEDA - कम से कम 24 महीने; दूसरों के लिए - 3-6 साल की आंतरिक अवधि)।

14) प्रतिबंध और दायित्व

नियामकों का जुर्माना (यूरोपीय संघ में - प्रणालीगत उल्लंघन या समय सीमा की अनदेखी के मामले में महत्वपूर्ण);

विषयों के दावे, सुरक्षा प्रथाओं को बदलने के आदेश;

घटना के बाद की निगरानी और रिपोर्टिंग दायित्वों।

15) विशिष्ट त्रुटियां

"पूर्णतावाद" के कारण देरी: समय पर अग्रिम नोटिस के बजाय पूरी तस्वीर की प्रतीक्षा कर रहा है।

अप्रत्यक्ष जोखिमों का कम करना (ई-मेल + पूर्ण नाम लीक के बाद फ़िशिंग)।

टीमों के बीच निरंतरता का अभाव (वकील/पीआर/सुरक्षा/समर्थन)।

नियामकों और "देश मैट्रिक्स" के अप्रासंगिक संपर्क।

प्रोसेसर और उप-प्रोसेसर के संविदात्मक दायित्वों की अनदेखी।

16) तत्परता चेकलिस्ट (घटना से पहले)

1. भूमिकाओं और चैनलों के साथ हादसे प्रतिक्रिया नीति को मंजूरी 24/7।

2. नियामकों के साथ संपर्क करने के लिए DPO/जिम्मेदार और प्रॉक्सी आबंटित करें।

3. कंट्री मैट्रिक्स तैयार करें: तिथियां, गंतव्य, थ्रेसहोल्ड, रूप।

4. पत्रों के तैयार टेम्पलेट: समर्थन के लिए नियामक, विषय, मीडिया, एफएक्यू को।

5. प्रोसेसिंग रजिस्ट्री, डेटा मैप और प्रोसेसर/सब-प्रोसेसर सूची को अपडेट करें।

6. हर 6-12 महीने में टेबल-टॉप अभ्यास करें।

7. DPA में शामिल करें: "एक्स घंटे के भीतर अधिसूचना", अनिवार्य प्रारंभिक रिपोर्ट, ऑडिट लॉग।

8. विश्राम और पारगमन, कुंजी प्रबंधन, गुप्त घुमाव पर गोपन सक्षम करें.

9. डेटा एक्सेस विसंगतियों और स्वचालित अलर्ट की निगरानी स्थापित करें।

10. पीआर प्लेबुक और सार्वजनिक बयान नीति तैयार करें।

17) न्यायालयों के मिनी-मैट्रिक्स (सारांश बेंचमार्क)

क्षेत्र/मोड	नियामक	नियामक को अधिसूचना	विषयों के लिए अधिसूचना	विशेष नोट्स
यूरोपीय संघ/ईईए (जीडीपीआर)	देश द्वारा डीपीए	72 घंटे	उच्च जोखिम पर कोई देरी नहीं	सभी घटनाओं का रजिस्टर बनाए रखें
यूके जीडीपीआर	ICO	72 घंटे	उच्च जोखिम पर कोई देरी नहीं	स्पष्टीकरण के साथ देर से पता लगाने पर भी संदेश
कनाडा (PIPEDA)	ओपीसी	सिटो सिटिसिमो	ASAP पर "नुकसान का वास्तविक जोखिम"	रजिस्ट्री ≥ 24 महीने
सिंगापुर (पीडीपीए)	पीडीपीसी	≤ मूल्यांकन के 3 दिन बाद	मूल्य जोखिम पर कोई देरी नहीं	थ्रेशोल्ड परीक्षण "महत्वपूर्ण नुकसा
ब्राजील (LGPD)	एएनपीडी	उचित समय	जोखिम पर उचित समय	त्वरित अग्रिम सूचना की सि
ऑस्ट्रेलिया (NDB)	OAIC	मूल्यांकन के बाद ≤ 30 दिन	सिटो सिटिसिमो	"वैकल्पिक डेटा उल्लंघन" मानदंड
संयुक्त राज्य अमेरिका (राज्य	एजी/अन्य	भिन्नता (30-60 दिन)। या "कोई देरी नहीं")	हां, थ्रेसहोल्ड के आधार पर	अक्सर क्रेडिट ब्यूरो की आवश
यूएई/एडीजीएम/डीआईएफसी	Tikhanovskaya। निकाय	अक्सर ~ 72 घंटे	उच्च जोखिम में	स्थानीय नियम जाँचें
भारत (डीपीडीपी)	डीपी-बॉडी	स्थापित प्रक्रिया के अनुसार	स्थापित प्रक्रिया के अनुसार	नियामक के आदेशों का पालन करें

(मैट्रिक्स - संदर्भ बिंदु। उपयोग से पहले वर्तमान नियमों की जाँच करें।)

18) दस्तावेज़ टेम्पलेट (भंडार में रखें)

हादसा प्रतिक्रिया नीति + रनबुक 72 एच

डेटा उल्लंघन अधिसूचना - नियामक (मसौदा/प्रारंभिक/अंतिम)

डेटा उल्लंघन अधिसूचना - व्यक्ति (e- mail/SMS/баннер/FAQ)

प्रेस स्टेटमेंट & Q&A

प्रोसेसर ब्रीच रिपोर्ट फॉर्म (ठेकेदारों के लिए)

सबक सीखा/पोस्टमार्टम टेम्पलेट

देश मैट्रिक्स। xlsx (नियामक संपर्क, समय सीमा, थ्रेसहोल्ड)

19) वापसी

लीक की स्थिति में "कानूनी गलियारे" का सफल मार्ग गति + प्रलेखन + पारदर्शी संचार है। सिद्धांत सरल है: त्वरित अग्रिम अधिसूचना, उपयोगकर्ताओं को स्पष्ट निर्देश, नियामकों और ठेकेदारों के साथ स्पष्ट समन्वय, और फिर जांच आगे बढ़ ने के साथ विवरण का आगे स्पष्टीकरण। नियमित अभ्यास और टेम्पलेट का एक अप-टू-डेट सेट सबसे महत्वपूर्ण क्षण में कानूनी और प्रतिष्ठित जोखिमों को कम करता है।

💡 सामग्री एक अवलोकन प्रकृति की है और कानूनी सलाह नहीं है। एक विशिष्ट अधिकार क्षेत्र में कार्य करने से पहले, स्थानीय नियमों से परामर्श करें और एक प्रो

डेटा उल्लंघन कानून और सूचनाएं

(मैट्रिक्स - संदर्भ बिंदु। उपयोग से पहले वर्तमान नियमों की जाँच करें।)

हमसे संपर्क करें

त्वरित संपर्क

वीडियो जल्द ही अपडेट किया जाएगा

हम इस समय परियोजनाओं में बहुत व्यस्त हैं