איך להתנהג במקרה של הפרת נתונים?

קודם כל, אל תיכנס לפאניקה ודאג תמיד שהמגבת שלך תהיה איתך.

סוף סוף זה קרה. היה פגם במערכת שלך ומישהו ניצל אותו כדי לבצע מה שבז'רגון נקרא א נתוני פרה. הפרת מידע אישי. אל דאגה, זו לא תופעה חריגה. בני המזל נתקלים באירוע הזה פחות מפעם בשנה, אבל בעולם שמתפתח במהירות כמו האינטרנט יכול לקרות שהאירוע הזה הופך להיות הרבה יותר תכוף. בזמן שאתה מנסה לא להיכנס לפאניקה, אנו ממליצים לך להיצמד לכלל האצבע: כדי לטפל בהפרה, אתה צריך עקוב אחר האינדיקציות של תקנה 16/679 האירופית (GDPR) המציע הנחיות לגבי מה לעשות אם מתרחשת הפרת נתונים.

מהי הפרת נתונים?

הפרות מידע אישיות הן של 6 סוגים, וכל אחד מהם יכול להיות מרצון או מקרי על סמך הסיבה שזה התרחש:

• גישה לא מורשית. למישהו לא הייתה גישה למידע מסוים, ובכל זאת הוא עשה זאת. במקרה שזו הייתה טעות, ייתכן ששלחת מסמך חשוב לאדם אחד במקום לאחר. זו הייתה תאונה, אבל זו עדיין פרצת מידע. עם זאת, במקרה שעשית גישה לא מורשית לנתונים של מישהו, אירוע זה יכול להפוך ריגול.
• עותק לא מורשה. מישהו לקח כמה נתונים שלא שייכים לו והעתיק אותם לעצמו. זו עלולה להיות תאונה אם עמית לעבודה החליט להדפיס מסמך שלא היה צריך לקבל כדי להרכיב טוב יותר מסמך עבודה. במקרה של העתקה מרצון למטרות פחות ברורות, זה יכול להיות גניבה.
• חשיפה בלתי צפויה. מישהו מדליף בטעות נתונים שלא אמורים להיות מקוונים מכל סיבה שהיא. לדוגמה, תמונה של לקוח חשוב מתפרסמת בפרופיל הפייסבוק של החברה. במקרה של הונאה, פעולה זו נקראת התפשטות.
• שינוי לא מורשה. מישהו שינה כמה נתונים, למרות שהוא לא הצליח לעשות זאת. אם זה קרה בטעות, זהו זה. אחרת זה יכול להיות התעסקות על ידי האקר או תוקף.
• אובדן גישה. מישהו מאבד מידע והוא אינו זמין יותר. שכחת סיסמת המחשב שלך היא הפרה, האם ידעת זאת? ובמקרה שזה נעשה בכוונה, זה הופך הצפנה.
• מחיקת נתונים. מישהו מוחק נתונים רגישים. אם זה קרה בטעות, זו הפרה. אבל במקרה שהביטול הוא מרצון, הוא כרוך ב השמדת נתונים.

הפרת נתונים אישיים: איך להתנהג?

אנא עיין בסעיפים 33 ו-34 של ה-GDPR. שני מאמרים אלה מתייחסים לרגולציה האירופית המבקשת לציין את הנהלים שיש לנקוט במקרה של הפרת מידע. סעיף 33 נוגע לניהול הפנימי של החברה וליחסים עם הערב, ואילו סעיף 34 נוגע לניהול עם בעלי העניין, או האנשים שיש לנו את הנתונים האישיים שלהם.

חשוב לציין זאת יש לתעד תמיד את הפרת הנתונים e, במקרה, הודעה לערב כאמור בסעיף 33. זה גם אומר שבמקרה של הפרה, על מבקר הנתונים להודיע ​​לרשויות הפיקוח תוך 72 שעות מיום שנודע לו, במיוחד אם הדבר מהווה סיכון לזכויות וחירויות של אנשים טבעיים. על מעבדי הנתונים (משרד שכר, רואה חשבון, מנתחי מערכות...) להודיע ​​על כך לבוקר הנתונים.

אם תחליט להודיע ​​לערב, הוא זקוק למידע: אופי ההפרה, כמות האנשים המעורבים, נתוני חוזה של קצין הגנת המידע, תוצאות אפשריות של ההפרה וכל אמצעי שננקטו או יינקטו.

עם זאת, לחברה יש חובה לעשות זאת לתקשר את כל מה שקורה, ללא קשר אם ההפרות אינן מכוונות או מכוונות, ולוקחים אחריות (אחריות).

האחריות?

החברה חייב להיות אחראי, מוכשר ומודע למה שקורה בסביבותיה ובמערכותיה. על החברה להוכיח את יכולתה לפתור את הבעיה באופן יזום ולהוכיח שיש לה את הכלים לבלום את ההשלכות של פריצת המידע. זה נעשה על ידי מתן ראיות ונתונים - ועל ידי הצעת לך להציע לערב ודאות שמה שקרה לעולם לא יקרה שוב. במקרה של חוסר "אחריות", נגבה קנס.

מהן ההפרות שיש לדווח לערב?

רק הפרות מרצון ולא מקריות מועברות לערב. על מבקר הנתונים להחליט אם להודיע ​​או לא להודיע, בהיגיון של אחריותיות, אם הפרת הנתונים עלולה לגרום נזק לזכויות ולחופש של אנשים. ל'ENISA (סוכנות האיחוד האירופי לאבטחת סייבר) יצרה א מתודולוגיה לחישוב הסיכון על חירותם של אדם לנוכח פגיעה. ניתן ליישם מתודולוגיה זו גם בחברה.

איך יודעים אם הייתה הפרה?

יש להבין שההפרה מזוהה באמת. זה אפשרי אם יש הכשרה מספקת בחברה כדי להעריך את הסיכון ולהבין כל נזק. בקיצור, לא צריך מהנדס שייכנס למקום במשך חודשיים בניסיון להעריך את הנזקים האפשריים של כונן הבזק שאבד: צריך קורס הכשרה שיעזור לכוח האדם הזמין להבין את היקף הנזק מבלי להוסיף לעלויות כבר חשוב ניהול. במילים פשוטות, הצוות חייב לקבל הכשרה במה כרוכה הפרה ובהעברת הנוהל לנושאי המידע בזמן.

סעיף 34 אומר לנו שבקר הנתונים אסור למסור את ההפרה לנושא הנתונים מתי:

• אמצעים טכניים וארגוניים הולמים נקבעים, אך עם הודעה לערב והוכחת אחריות.
• היא אימצה אמצעים כדי למנוע סיכון גבוה לפריצת מידע.
• ניתן להשמיט חשיפה אם היא דורשת מאמץ לא פרופורציונלי - במקרה זה, יש להכריז עליה בפומבי!

פרצות נתונים קורות. אבל איך אתה חושב שאתה יכול להתמודד עם זה?