Уведомление об утечке персональных данных

Glossary category

Уведомление об утечке персональных данных

Что такое уведомление об утечке персональных данных?

Уведомление об утечке персональных данных — это процесс информирования компетентного надзорного органа, а в определенных случаях также затронутых лиц, о том, что произошло нарушение безопасности персональных данных. В соответствии с GDPR нарушение безопасности персональных данных означает нарушение безопасности, которое приводит к случайному или незаконному уничтожению, утрате, изменению, несанкционированному раскрытию персональных данных или доступу к ним, если такие данные передавались, хранились или иным образом обрабатывались. Это правовое понятие, которое влечет конкретные последствия для контролеров данных, а в отдельных ситуациях — и для обработчиков.

На практике уведомление об утечке персональных данных не ограничивается масштабными кибератаками. Оно может касаться ошибочно отправленных электронных писем, утраты устройства с персональными данными, несанкционированного доступа к системам, публикации данных для неправильной аудитории или случайного удаления записей. Правовая оценка зависит не только от самого технического инцидента, но и от того, создает ли событие риск для прав и свобод физических лиц.

Для большинства организаций ключевое значение имеют сроки и правильная квалификация инцидента. Статья 33 GDPR требует, чтобы контролер данных уведомил надзорный орган без необоснованной задержки и, если это возможно, не позднее 72 часов с момента, когда ему стало известно о нарушении, за исключением случаев, когда маловероятно, что нарушение приведет к риску для прав и свобод физических лиц. Статья 34 GDPR дополнительно требует уведомления затронутых лиц, если нарушение, вероятно, повлечет высокий риск для их прав и свобод. Эти обязанности оцениваются с учетом конкретных обстоятельств, категорий затронутых данных, масштаба инцидента и возможных последствий для физических лиц.

Что на практике включает уведомление об утечке персональных данных?

Уведомление об утечке персональных данных обычно начинается с выявления инцидента и его внутренней эскалации. Организация должна прежде всего установить, что произошло, какие данные были затронуты, сколько лиц может быть вовлечено, были ли данные защищены и какой вред может наступить. Для этого часто требуется взаимодействие юридической службы, комплаенс-подразделения, IT, специалистов по кибербезопасности, руководства и операционных команд.

Уведомление в надзорный орган должно как минимум содержать описание характера нарушения безопасности персональных данных, категории и приблизительное количество затронутых субъектов данных, категории и приблизительное количество соответствующих записей персональных данных, вероятные последствия нарушения, а также меры, принятые или предлагаемые для его устранения. Если полная информация еще недоступна, GDPR допускает поэтапное предоставление сведений при условии, что первоначальное уведомление направлено своевременно и затем дополнено без необоснованной задержки.

Уведомление затронутых лиц требует отдельной оценки. Оно должно быть составлено ясным и простым языком и описывать характер нарушения, вероятные последствия, а также действия, которые человек может предпринять для снижения возможного вреда. В некоторых случаях уведомление физических лиц может не требоваться, например если соответствующие технические и организационные меры — такие как шифрование — сделали данные непонятными для неуполномоченных лиц или если последующие меры устранили высокий риск. Точный объем таких исключений необходимо тщательно анализировать.

Документирование также является обязательной частью процесса. Согласно статье 33(5) GDPR, контролеры данных обязаны документировать нарушения безопасности персональных данных, включая факты, связанные с нарушением, его последствия и принятые меры по устранению. Эта обязанность действует даже тогда, когда уведомление надзорного органа не требуется. Надлежащие записи часто имеют ключевое значение при аудитах, проверках, внутренних расследованиях и спорах о соблюдении требований.

Когда рекомендуется юридическая помощь при уведомлении об утечке персональных данных?

Юридическая поддержка часто необходима, когда инцидент неоднозначен, обстоятельства еще уточняются или организация работает в регулируемой либо высокорисковой сфере. Это особенно актуально, если затронуты особые категории персональных данных, раскрыты данные сотрудников или клиентов, инцидент затрагивает несколько юрисдикций либо договорные обязательства перед деловыми партнерами также требуют отдельного уведомления.

Частным лицам также может потребоваться юридическая помощь, если их данные были раскрыты и они хотят понять, выполнила ли организация свои обязанности, было ли полученное уведомление достаточным и оправданы ли дальнейшие действия. Для бизнеса круг вопросов обычно шире и может включать регуляторные риски, договорную ответственность, внутреннюю подотчетность, последствия для страхового покрытия и репутационные последствия.

Оперативная правовая оценка помогает отличить инцидент, подлежащий уведомлению, от ситуации, требующей только внутреннего документирования. Она также позволяет избежать двух распространенных ошибок: не направить уведомление, когда оно юридически обязательно, и, наоборот, сообщить об инциденте без достаточного правового и фактического основания. Обе ситуации могут создавать предотвратимые риски. Ранняя консультация также помогает принимать обоснованные решения, сохранять доказательства и обеспечивать согласованность между регуляторными уведомлениями, внутренними документами и внешними коммуникациями.

Если инцидент может привести к претензиям, проверкам или общественному вниманию, правовая стратегия должна охватывать не только обязанности по уведомлению в рамках GDPR, но и смежные вопросы: обязательства обработчика данных, конфиденциальность, трудовые аспекты, управление кибербезопасностью и коммуникациями. В трансграничных случаях также может потребоваться учет механизма ведущего надзорного органа и подхода других органов ЕС по защите данных.

Поддержка юридической фирмы в сфере уведомления об утечке персональных данных может, в частности, включать:

  • оценку того, квалифицируется ли инцидент как нарушение безопасности персональных данных в соответствии с GDPR,
  • анализ риска и высокого риска для прав и свобод физических лиц,
  • подготовку или проверку уведомлений в надзорный орган,
  • подготовку или проверку сообщений для затронутых лиц,
  • поддержку в документировании нарушения и мер по его устранению,
  • консультации по распределению обязанностей между контролером и обработчиком данных, а также по договорным положениям об уведомлении,
  • сопровождение в ходе надзорных процедур, проверок и внутренних расследований,
  • анализ процедур реагирования на инциденты и процессов уведомления о нарушениях безопасности данных.

Если вам нужна помощь с уведомлением об утечке персональных данных, свяжитесь с нами.

См. также

  • Права потребителей
  • Трудовой договор
  • Коммерческое право
  • Финансовая отчетность