GH GambleHub

데이터 침해 법률 및 알림

1) 소개 및 목표

데이터 유출은 기술적 인 사건 일뿐만 아니라 알림 내용에 대한 명확한 마감일, 수신자 및 공식 요구 사항이있는 법적 절차이기도합니다. 이른 시간의 실수는 벌금, 집단 소송 및 평판 손실의 위험을 증가시킵니다. 이 자료는 보안, 변호사, PR, 고객 지원 및 규정 준수와 같이 동기화하는 데 도움이되는 B2C 플랫폼 (iGaming/fintech 포함) 에 대한 실용적인 로드맵입니다.

2) "개인 데이터 유출" 로 간주되는 것

개인 보안 사고로 인해 우발적이거나 불법적 인 파괴, 손실, 변경, 공개되지 않은 개인 데이터 액세스 또는 공개가 발생합니다. 피험자의 권리와 자유 (기밀, 재정적 피해, 차별, 피싱 등) 에 대한 위험의 사실이 중요합니다.

3) 역할과 책임

감독자 (운영자) - 처리 목표와 수단을 결정합니다. 법적 근거의 알림, 회계 및 선택에 대한 주요 책임이 있습니다.
프로세서 (프로세서/계약자) -; 지연없이 컨트롤러에 알리고 조사 및 알림을 지원해야합니다.
공동 감독자-단일 연락 지점을 조정하고 계약에서 책임 영역을 할당합니다.

4) 알림 임계 값: 세 가지 위험 수준

1. 위험 없음 (예: 강력한 키, 키가 손상되지 않은 암호화 된 미디어) → 사고 로깅, 외부 알림 없음.
2. 위험 (해를 입을 가능성이 있음) → 제 시간에 규제 기관의 통지.
3. 높은 위험 (재정, 건강, 어린이, 대규모 누출, 취약한 그룹) → 이해할 수있는 언어로 지체없이 피험자에 대한 추가 통지.

5) 알림 기간 (키 모드의 벤치 마크)

EU/EEA (GDPR): 컨트롤러는 누출을 인식 한 후 72 시간 이내에 규제 기관에 통지합니다. 피험자- 위험이 높은 경우 "과도한 지연없이"

영국 GDPR/ICO: 72 시간 규제 기관과 유사; 사건 등록을 유지하십시오.
캐나다 (PIPEDA): 규제 기관 및 단체-" 심각한 피해의 실제 위험 "인 경우 가능한 빨리; 최소 24 개월 동안 등록을 유지하십시오.
싱가포르 (PDPA): PDPC-평가 완료 후 3 일 이내에 가능한 빨리; 피험자-심각한 피해를 입을 위험이 없습니다.
브라질 (LGPD): 규제 기관 및 단체- "합리적인 시간 내에"; 랜드 마크-확인 후 가능한 빨리.
UAE (공급) PDPL )/ADGM/DIFC: 대부분의 경우-위험이 높은 ~ 72 시간 내에 규제 기관의 통지.
호주 (NDB): 최대 30 일 동안의 평가; "명백한" 사건을 확인한 후 "가능한 한 빨리" 통지.
미국 (주법): 마감일은 다양합니다 (종종 "과도한 지연없이", 때로는 고정 된 30-60 일). 데이터의 양과 유형에 대한 문제, 주요 사건의 경우 검찰 총장/기관의 통지.
인도 (DPDP): 규제 기관이 정한 절차에 따라 규제 기관/기관에 알림; 식별 후 즉시 행동하십시오.

💡 참고: 특정 마감일 및 임계 값이 업데이트됩니다. "국가 매트릭스" 에 기록하고 분기별로 검토하십시오.

6) 알림에 무엇이 있어야합니까?

규제 기관에:
  • 사건과 타임 라인에 대한 간략한 설명;
  • 영향을받는 데이터 및 주제의 범주 및 대략적인 양;
  • 가능한 결과;
  • 취하거나 제안한 조치 (완화, 재발 방지);
  • DPO/책임 그룹 연락처
  • 상태: 후속 추가에 대한 메모가있는 예비 메시지 (모든 사실이 확립 된 것은 아님).
데이터 주제 (사용자):
  • 평범한 언어로 언제 일어 났는가;
  • 그들의 데이터가 영향을 받고 가능한 결과;
  • 이미 수행 된 작업 (잠금 장치, 키 변경, 강제 암호 회전 등);
  • 사용자가 할 수있는 일 (2FA, 암호 변경, 계정/신용 모니터링);
  • 지원 채널, 무료 서비스 (예: 재무 데이터 유출시 신용 모니터링).

7) 허용 가능한 알림 지연

여러 정권에서 즉각적인 공개가 조사를 방해하는 경우 법 집행 요청에 따라 통지가 지연 될 수 있습니다. 이유와 유예 기간을 서면으로 기록하십시오.

8) 암호화 및 안전한 항구

데이터가 안전하게 암호화되어 있고 키가 손상되지 않은 경우 많은 법률에 따라 피험자에게 통지가 면제됩니 문서 알고리즘/키 관리; 기술적 근거를 사건 등록부에 첨부하십시오.

9) 응답 절차: "처음 72 시간" 타임 라인

T0-4 시간

IR 계획 활성화; 리드 (SIRT, 변호사, PR, DPO) 를 할당합니다.
공격 벡터의 분리, 아티팩트 수집 (로그, 덤프), 시스템 시간 수정.
기본 자격: 개인 데이터? 어떤 카테고리? 볼륨? 지리? 계약자?

T4-24 시간

위험 평가: 권리와 자유에 미치는 영향; 어린이/금융/건강.
해결책: 규제 기관에 알리는가? (예, "예비 통지" 를 준비하고 있습니다).
지원을 위해 피험자에게 초안 알림 + FAQ; PR 메시지.
계약자/프로세서 검증: 보고서 요청, 이벤트 로그.

T24-72 시간

규제 기관에 알림 보내기 (필요한 경우); 로깅 전송.
일련의 완화 조치 (강제 암호 변경, 키 회전, 작업 시간 제한, 2FA) 의 마무리.
공개 성명서를 작성하십시오 (적절한 경우). 핫라인/봇을 시작하십시오.

72 시간 후.

규제 기관에 명확한 추가 보고서; 사후 부검; 정책 및 통제 업데이트

10) 계약자 및 처리 체인 관리

계약 DPA/프로세서 책임: "즉시 알림", 24/7 연락처 채널, 초기 보고서 당 SLA (예: 24 시간).
컨트롤러가 보호 조치를 감사/점검 할 권리.
모든 계약자 사건 및 조치에 대한 필수 기록.
서브 프로세서에 대한 의무 연장.

11) 특별 범주 및 위험 그룹

어린이, 건강, 재정, 생체 인식, 자격 증명-거의 항상 높은 위험 → 주제의 우선 순위 알림.
결합 누출 (PII + 크레딧/토큰) → 즉각적인 강제 회전 및 토큰 장애.
지리 별: 일부 주/국가에서는 대규모 신용 관리국/옴부즈맨에 대한 통지가 필요합니다.

12) 내용 및 커뮤니케이션 형태

기술 전문 용어가없는 일반 언어 (B1).
가능한 경우 요청의 개인화; 그렇지 않으면-공개 발표 및 전자 메일/푸시 조합.
채널: 계정의 전자 메일 + SMS/푸시 (중요한 경우) + 배너; 대량의 경우-공개 게시물 및 FAQ.
이메일에 피싱과 같은 링크를 포함시키지 마십시오. 공식 웹 사이트/앱을 통한 경로를 제안합니다.

13) 기록 문서 및 저장

사건 기록: 날짜/시간, 발견, 분류, 알림 결정 및 정당화, 알림 텍스트, 메일 링리스트, 파견 증명, 규제 응답, 치료 조치.
정권에 따르면 선반 생활 (예: PIPEDA) 최소 24 개월; 다른 사람들을 위해-3-6 년의 내부 기간).

14) 제재와 책임

규제 당국의 벌금 (EU-체계적인 위반 또는 마감 기한을 무시하는 경우 중요);

주제에 대한 주장, 안전 관행 변경 명령;

사후 모니터링 및보고 의무.

15) 전형적인 오류

"완벽주의" 로 인한 지연: 적시에 사전 통지 대신 전체 그림을 기다립니다.
간접 위험의 과소 평가 (전자 메일 후 피싱 + 전체 이름 누출).
팀 간의 일관성 부족 (변호사/홍보/보안/지원).
규제 기관 및 "국가 매트릭스" 의 관련이없는 연락처.
프로세서 및 하위 프로세서의 계약 의무를 무시합니다.

16) 준비 점검표 (사건 전)

1. 역할 및 채널을 통해 사고 대응 정책을 승인합니다.
2. DPO/Responsible 및 Proxies를 지정하여 규제 기관과 연락하십시오.
3. 국가 매트릭스 준비: 날짜, 목적지, 임계 값, 양식.
4. 지원을 위해 레귤레이터, 피험자, 미디어, FAQ에 기성품 템플릿.
5. 처리 레지스트리, 데이터 맵 및 프로세서/하위 프로세서 목록을 업데이트하십시오.
6. 6-12 개월마다 탁상 운동을하십시오.
7. DPA에 포함: "X 시간 내에 알림", 필수 초기 보고서, 감사 로그.
8. 휴식 및 전송 중, 주요 관리, 비밀 교체시 암호화 사용.
9. 데이터 액세스 이상 및 자동 경고 모니터링을 설정합니다.

10. PR 플레이 북 및 공개 성명 정책을 준비하십시오

17) 법학의 미니 매트릭스 (요약 벤치 마크)

지역/모드레귤레이터레귤레이터에 알림주제에 대한 알림특별 메모
EU/EEA (GDPR)국가 별 DPA72 시간위험이 높은 지연 없음모든 사건의 등록 유지
영국 GDPRICO72 시간위험이 높은 지연 없음설명과 함께 늦은 탐지에서도 메시지
캐나다 (PIPEDA)OPC시토 시티 시모"실제 피해의 위험" 에 대한 최대한등록 24 개월
싱가포르 (PDPA)PDPC평가 후 3 일가치 위험에 지연 없음임계 값 테스트 "중대한 피해"
브라질 (LGPD)ANPD합리적인 시간합리적인 시간 위험빠른 사전 통지 권장
호주 (NDB)OAIC평가 후 소 30 일시토 시티 시모"선택적 데이터 유출" 기준
미국 (주)AG/기타바리 (30-60 일) 또는 "지연 없음")예, 임계 값에 따라종종 신용 관리국 요구 사항
UAE/ADGM/DIFC티 카노 브 스카 야. 시체종종 ~ 72 시간위험이 높은로컬 규칙 확인
인도 (DPDP)DP- 바디확립 된 절차에 따르면확립 된 절차에 따르면규제 기관의 법령을 따르십시오

(매트릭스-기준점. 사용하기 전에 현재 규정을 확인하십시

18) 문서 템플릿 (저장소에 보관)

사고 대응 정책 + 런북 72h

데이터 유출 알림-규제 기관 (초안/예비/최종)

데이터 유출 알림-개인 (e-mail/SMS/

Press Statement & Q&A

프로세서 위반 보고서 양식 (계약자 용)

배운 교훈/사후 템플릿

국가 매트릭스. xlsx (레귤레이터 연락처, 마감일, 임계 값)

19) 철수

누출시 "법적 복도" 를 성공적으로 통과하는 것은 속도 + 문서 + 투명한 통신입니다. 이 원칙은 간단합니다. 빠른 사전 알림, 사용자에게 명확한 지침, 규제 기관 및 계약자와의 명확한 조정, 조사가 진행됨에 따라 세부 사항에 대한 추가 설명. 정기적 인 연습과 최신 템플릿 세트는 가장 중요한 순간에 법적 및 평판 위험을 줄입니다.

💡 자료는 개요 특성이 있으며 법적 조언이 아닙니다. 특정 관할권에서 행동하기 전에 현지 규정을 참조하고 프로필 결론을받습니다.
Contact

문의하기

질문이나 지원이 필요하시면 언제든지 연락하십시오.우리는 항상 도울 준비가 되어 있습니다!

Telegram
@Gamble_GC
통합 시작

Email — 필수. Telegram 또는 WhatsApp — 선택 사항.

이름 선택 사항
Email 선택 사항
제목 선택 사항
메시지 선택 사항
Telegram 선택 사항
@
Telegram을 입력하시면 Email과 함께 Telegram에서도 답변드립니다.
WhatsApp 선택 사항
형식: +국가 코드 + 번호 (예: +82XXXXXXXXX).

버튼을 클릭하면 데이터 처리에 동의하는 것으로 간주됩니다.