Օրենքները տվյալների արտահոսքի և ծանուցման ժամանակ
1) Ներդրումը և նպատակները
Տվյալների արտահոսքը ոչ միայն ռուսական պատահականությունն է, այլ նաև իրավաբանական ընթացակարգը 'հստակ ժամկետներով, հասցեներով և պաշտոնական հաղորդագրություններով ծանուցումների բովանդակության համար։ Առաջին ժամերին սխալները մեծացնում են տուգանքների, դատավարությունների և հեղինակության ռիսկը։ Այս նյութը գործնական «ճանապարհային քարտեզն» է B2C պլատֆորմների համար (ներառյալ iGaming/fintech), որը օգնում է գործել սինխրոն 'անվտանգություն, իրավաբաններ, PR, հաճախորդների աջակցություն և ընկերակցություն։
2) Ի՞ նչ է համարվում «անձնական տվյալների արտահոսքը»
Անվտանգության անձնական դեպքը, որը հանգեցնում է պատահական կամ անօրինական ոչնչացման, կորստի, փոփոխության, աննկարագրելի հասանելիության կամ անձնական տվյալների բացահայտման։ Կարևոր է ռիսկի փաստը սուբյեկտների իրավունքների և ազատությունների համար (գաղտնիությունը, ֆինանսական վնասը, պաշտպանությունը, ֆիշինգը և այլն)։
3) Դերեր և պատասխանատվություն
Վերահսկիչը (օպերատոր) - որոշում է նպատակներն ու վերամշակման միջոցները։ կրում է առաջնային տեղեկատվություն ծանուցումների, ուսուցումների և իրավական հիմքերի ընտրության վերաբերյալ։
Պրոցեսոր (վերամշակող/լոկոմոտիվ) - արտադրում է առաջադրանքի տվյալները։ պետք է առանց հետաձգելու տեղեկացնել վերահսկողին և նպաստել հետազոտություններին և նոտաներին։
Միասին վերահսկողները, որոնք կարգավորում են կապի միասնական կետը և բաժանում են պատասխանատվության գոտիները համաձայնագրում։
4) Ծանուցման շեմն 'երեք ռիսկի մակարդակ
1. Չկա ռիսկի (օրինակ, որը ծածկագրված է վստահելի բանալիներով, բանալիները չեն համահունչ), ամսագրում, առանց արտաքին ծանուցումների։
2. Ռիսկը (վնասվածքի հավանականություն կա) կարգավորիչի ծանուցումը ժամանակին։
3. Բարձր ռիսկը (մեծ վնասը հավանական է 'ֆինանսներ, առողջություն, երեխաներ, զանգվածային արտահոսքեր, խոցելի խմբեր) բացատրում է սուբյեկտների լրացուցիչ ծանուցումը հասկանալի լեզվով և առանց հետաձգման։
5) Ծանուցման ժամկետները (հիմնական ռեժիմների ուղեցույցները)
EU/EFC (GDPR): վերահսկիչը տեղեկացնում է կարգավորողին 72 ժամվա ընթացքում, երբ հայտնի էր արտահոսքի մասին։ սուբյեկտները «առանց անհիմն ուշացման» են, եթե ռիսկը բարձր է։
UK GDPR/ICO: Նման 72 ժամ կարգավորողին; պահել։
Կանադա (PIPEDA) 'կարգավորողը և սուբյեկտները, հնարավորինս շուտ, եթե «իրական վտանգը էական վնասի»։ Առնվազն 24 ամիս է, ինչ քարոզում ենք։
Սինգապուրը (PDPA) 'PDPC-ում, որքան հնարավոր է, ոչ ուշ, քան 3 օր գնահատման ավարտից հետո։ սուբյեկտներին 'առանց հետաձգելու վնասի ռիսկի դեպքում։
Բրազիլիան (LGPD) 'կարգավորողը և սուբյեկտները' «խելացի ժամանակում»; ուղեցույցը, ինչպես նախկինում, հաստատումից հետո։
ԱՄԷ (1922։ PDPL )/ADGM/DIFC: Շատ դեպքերում, կարգավորիչի ծանուցումը 2472 ժամվա ընթացքում բարձր ռիսկի ժամանակ։
Ավստրալիան (NDB) 'գնահատումը մինչև 30 օրվա ընթացքում։ ծանուցումը «հնարավորինս շուտ» այն բանից հետո, երբ հաստատվում է «ծանուցումը»։
ԱՄՆ-ը (ստանդարտ օրենքները), ժամանակահատվածները տարբերվում են (հաճախ «առանց անհիմն ուշացման», երբեմն ֆիքսված 30-60 օր)։ Տվյալների ծավալի և տեսակների շեմերը, Գլխավոր դատախազի/գործակալությունների ծանուցումը մեծ միջադեպերի ժամանակ։
Հնդկաստան (DDPP) 'կարգավորիչի/սուբյեկտների ծանուցումները' կարգին, կարգավորիչի կողմից։ Պետք է գործենք նույնականացումից հետո։
6) Ի՞ նչ պետք է լինի ծանուցումների մեջ
Կարգավորիչ
Ռուսական և ժամանակավոր սանդղակի նկարագրությունը։
կատեգորիաները և տվյալների և սուբյեկտների օրինակելի ծավալը.
հավանական հետևանքներ;
միջոցներ, որոնք ձեռնարկվել կամ առաջարկվել են (հաշվարկը, կրկնությունը կանխելը);
DPO/պատասխանատու խմբի կապը;
կարգավիճակ 'նախնական հաղորդագրություն' հետագա լրացման մասին (եթե ոչ բոլոր փաստերը տեղադրված են)։
Տվյալների սուբյեկտներին (112)
ինչ պատահեց պարզ լեզվով և երբ։
ի՞ նչ են նրանց տվյալները և հնարավոր հետևանքները.
արդեն արվել է (արգելափակումը, փոփոխությունը, գաղտնաբառերի հարկադիր տարհանումը և այլն);
ինչ կարող է անել (2FA, գաղտնաբառի փոփոխություն, բանկային հաշիվներ/վարկային պատմություն);
աջակցության ալիքներ, անվճար ծառայություններ (օրինակ, վարկերի վճարումը ֆինանսական տվյալների արտահոսքի ժամանակ)։
7) Ծանուցման թույլատրելի ուշացում
Մի շարք ռեժիմներում դուք կարող եք տեղեկացնել իրավաբանների խնդրանքով, եթե անհապաղ բացահայտումը խանգարի հետազոտությանը։ Ամրացրեք ձեր հիմքն ու ժամանակը գրավոր։
8) Կոդավորումը և «անվտանգ նավահանգիստը»
Շատ օրենքներ ազատվում են սուբյեկտների ծանուցումից, եթե տվյալները հուսալիորեն ծածկագրված են, և բանալիները չեն համահունչ։ Փաստաթղթավորեք ալգորիթմները/բաների կառավարումը։ կցեք տեխնիկան։ հիմնավորումն է տրամագծին։
9) Մրցույթի գործընթացը 'թայմլայնը «առաջին 72 ժամ»
T0-4 2019
Ակտիվացնել IR պլանը։ նշանակել լիդեր (SIRT, իրավաբան, PR, DPO)։
Հարձակման վեկտորի մեկուսացումը, արտեֆակտների հավաքումը (լոգներ, տիկնայք), աշխատանքային ժամանակի ամրագրումը։
Առաջնային որակավորում 'անձնական տվյալներ։ ո՞ ր կատեգորիաներն են։ ծավալը։ աշխարհագրություն? կապալառուներ։
T4-24 2019
Ռիսկի գնահատումը 'ազդել իրավունքների և ազատության վրա։ երեխաներ/ֆինանսներ/առողջություն։
Որոշումը 'կարգավորողի ծանուցում։ (եթե այո, մենք պատրաստում ենք «preliminary notice»)։
Chernovick + FAQ սուբյեկտներին սապորտի համար։ PR-մեսեդին։
Կապալառուների/պրոցեսորների վերիֆիկացումը 'մրցույթի հարցումը, իրադարձությունների ամսագրերը։
T24-72 2019
Ծանուցման ուղարկումը կարգավորողին (եթե պահանջվում է); ուղարկման տրամաբանությունը։
Մի շարք միջոցների ավելացումը (գաղտնաբառերի հարկադիր փոփոխություն, գաղտնաբառերի վերացումը, վիրահատությունների ժամանակավոր սահմանները, 2FA)։
Հանրային հայտարարության պատրաստումը (եթե տեղին է), տաք գծի/բոտի արձակումը։
72-ից հետո
Կարգավորողի կողմից լրացուցիչ հաշվետվությունները պարզելու համար։ post-mortem; քաղաքական և վերահսկման նորարարություն։
10) Կապալառուների կառավարումը և վերամշակման շղթան
Պայմանագրային DPA/պարտավորությունները '«վերացված ծանուցում», կոնտակտային ալիքներ 24/7, SLA առաջնային զեկույցի վրա (օրինակ ՝ 24 ժամ)։
Վերահսկողի իրավունքը աուդիտի/պաշտպանության միջոցառումների ստուգման համար։
Բոլոր ռուսական կապալառուի պարտադիր ձայնագրությունը և նպատակային միջոցները։
Պարտավորությունների տարածումը պրոցեսորների վրա։
11) Հատուկ կատեգորիաներ և ռիսկի խմբեր
Երեխաները, առողջությունը, ֆինանսները, կենսաչափությունը, նշված տվյալները գրեթե միշտ մեծ ռիսկ են ներկայացնում սուբյեկտների գերակա ծանուցումը։
Համակցված արտահոսքերը (PII + creda/tocena) պարունակում են հարկադիր միգրացիա և թունավոր հաշմանդամություն։
Գեո առանձնահատկությունները 'որոշ նահանգներ/երկրները պահանջում են տեղեկացնել վարկային բյուրոներին/միգրանտներին մեծ մասշտաբով։
12) Հաղորդակցության բովանդակությունն ու ձևը
Հասկանալի լեզուն (B1), առանց տեխնոլոգիական ժարգոնի։
Դիմումների կերպարը, եթե հնարավոր է, այլ կերպ 'հանրային գովազդ և e-mail/2019 միասին։
Ալիքները ՝ e-mail + SMS/112 (քննադատության դեպքում) + բանան հաշվում։ Զանգվածային դեպքերի համար հանրային պաշտոն է և FAQ-ը։
Մի՛ միացրեք աքսորի նամակները, որոնք նման են ֆիշինգի։ առաջարկեք ուղին պաշտոնական կայքի/հավելվածի միջոցով։
13) Գրառումների փաստաթղթավորումը և պահպանումը
Պարբերագիրը նշում է, որ ամսաթիվը/ժամանակը, հայտնաբերումը, դասակարգումը, նոտացիայի լուծումը և դրա հիմնավորումը, ծանուցման տեքստերը, հաղորդագրությունների ցուցակները, ուղարկման տվյալները, կարգավորիչների պատասխանները, ռեմեդիացիան։
Պահեստավորման ժամկետը համաձայն է ռեժիմին (օրինակ, PIPEDA-ը առնվազն 24 ամիս է։ մյուս կողմից '3-6 տարի ներքին ժամանակահատվածը)։
14) Սանկցիաները և պատասխանատվությունը
Կարգավորողների տուգանքները (ԵՄ-ում կարևոր են խախտումների կամ միգրանտների անտեսման ժամանակ);
Առարկաների որոնումները, անվտանգության գործելակերպը փոխելու հրամանները։
Մոնիտորինգի և ռեպորտինգի պարտավորությունները հետո։
15) Տիպիկ սխալներ
Ձերբակալումը «պերֆեկցիոնիզմի» պատճառով 'ամբողջական նկարի սպասումը ժամանակին նախնական ծանուցման փոխարեն։
Անուղղակի ռիսկերի թերագնահատումը (ֆիշինգը e-mail + FIO) արտահոսքից հետո։
Թիմերի միջև մրցույթի բացակայությունը (իրավաբաններ/PR/անվտանգություն/աջակցություն)։
Կարգավորողների ոչ ակտիվ շփումները և Country Matrix-ը։
Անտեսելով պրոցեսորների և պրոցեսորների պայմանագրային պարտականությունները։
16) Chek-Light (մինչև 2019)
1. Հաստատել Incident Response Policy-ը 24/7 դերերի և ալիքների հետ։
2. Նշանակել DPO/պատասխանատու և վստահելի դեմքեր կարգավորողների հետ կապի համար։
3. Պատրաստել Country Matics-ը 'ժամկետներ, հասցեատերեր, շեմեր, ձևեր։
4. Նամակների պատրաստի ձևանմուշները 'կարգավորիչ, սուբյեկտներ, լրատվամիջոցներ, FAQ կոշիկների համար։
5. Թարմացնել համապատասխան բուժումները, տվյալների քարտեզը և պրոցեսորների ցանկը/պրոցեսորները։
6. Մշակել table-top-ը 6-12 ամիս։
7. Ներառել DPA-ում '«ծանուցում X ժամվա ընթացքում», պարտադիր առաջնային զեկույցը, լոգարանների աուդիտը։
8. Միացրեք գաղտնագրումը հանգստի և տարանցման, բեկորների կառավարման, գաղտնիության վրա։
9. Տեղադրել տվյալների հասանոմալիա և ավտոմատ նախազգուշացում։
10. Պատրաստել PR-playbook-ը և հանրային հայտարարությունների քաղաքականությունը։
17) Միգրացիայի մինի-մատրիցը (համախմբված ուղեցույց)
(Մատրիցան ուղեցույց է։ Ստուգեք համապատասխան նորմերը նախքան կիրառելը։)
18) Փաստաթղթերի ձևանմուշները (պահեք ավանդակում)
Incident Response Policy + Runbook 72h
Data Breach Notification — Regulator (draft/preliminary/final)
Data Breach Notification — Individuals (e-mail/SMS/баннер/FAQ)
Press Statement & Q&A
Processor Breach Report Form (կապալառուների համար)
Lessons Learned / Post-mortem template
Country Matrix. xlsx (կարգավորիչների շփումներ, ժամկետներ, շեմեր)
19) Եզրակացություն
Արտահոսքի ժամանակ «միջանցքի» հաջող անցումը + փաստաթղթավորման + թափանցիկ հաղորդակցություն է։ Սկզբունքը պարզ է. Արագ նախնական ծանուցում, հասկանալի հրահանգներ, կարգավորիչների և կապալառուների հետ հստակ կոորդինացիա, իսկ հետո 'մանրամասների ավելացում, երբ ուսումնասիրվում է։ Ուսմունքների իրականացումը և ձևանմուշների իրական շարքը նվազեցնում են իրավաբանական և հեղինակավոր ռիսկերը կրիտիկական պահին։