נוהל דיווח על אירועי אבטחה והפרות GDPR

שֵׁרוּת

למרות שחלפה כמעט שנה מאז כניסת ה-GDPR לתוקף, ההוראות החדשות בנושא הגנה על נתונים אישיים הן עדיין נושא חם, והפרשנות הנכונה שלהן מעוררת ספקות רבים. ה-GDPR מטיל על כל הגופים המעבדים נתונים אישיים חובת זהירות ואבטחת מידע, וכן מציין את הפעולות שעל מבקר הנתונים לנקוט במקרה של הפרה של כללי הגנת מידע.

האם כל אירוע אבטחה מהווה פרצת מידע?

כל יזם חייב לנתח בקפידה אילו נתונים אישיים, לאיזו מטרה ובאיזו מידה. בהתאם לתוצאות ניתוח זה, יש צורך ליישם אמצעי הגנה כאלה שיהיו נחוצים בשל הצורך להבטיח אבטחה מלאה של הנתונים המעובדים והמאוחסנים. בהתאם לסוג הארגון, אמצעי האבטחה יהיו שונים בתכלית. למרבה הצער, לא, אפילו האמצעים המתוחכמים ביותר יכולים להבטיח שהנתונים האישיים לא יופרו. היזם צריך להיות מוכן למצב כזה, כי הוראות ה-GDPR מטילות עליו חובות מסוימות הקשורות לצורך לדווח על מה שנקרא אירועי אבטחה (מה שנקרא הודעת פרצת מידע).

מתן אמנות. 4 נקודה 12 של ה-GDPR - הגדרה של הפרת מידע אישי:
הפרת הגנת מידע אישי "פירושה הפרת אבטחה המובילה להרס בשוגג או לא חוקי, אובדן, שינוי, חשיפה לא מורשית או גישה בלתי מורשית לנתונים אישיים שהועברו, מאוחסנים או מעובדים בדרך אחרת.'.

על פי ההגדרה שאומצה בהוראות ה-GDPR, אירוע אבטחה הוא כל אירוע שגורם ל:

  • הֶרֶס;

  • הֶפסֵד;

  • שינוי;

  • חשיפה בלתי מורשית;

  • גישה בלתי מורשית של גורם אחר לנתונים אישיים שהיזם מעביר, מאחסן או מעבד בדרך אחרת.

תשומת הלב!
לא כל טעות של יזם הקשורה ביישום ויישום הוראות ה-GDPR תהווה אירוע אבטחה חובה. לדוגמא, הבעת הסכמה לעיבוד נתונים באופן שאינו עולה בקנה אחד עם ההנחיות שמספקות ה-GDPR או יידוע שגוי למי שהיזם מעבד את הנתונים שלו על חוסר האפשרות למחוק את הנתונים, לא תהווה אירוע אבטחה.

יש להעריך אירועים המהווים אירועי בטיחות הניתנים לדיווח במונחים של השלכותיהם. אם - ללא קשר לסוגו (למשל פריצה למערכת ה-IT או גניבה של מחשב נייד המכיל את נתוני הלקוח של היזם) - האירוע יביא לאחת מהתוצאות המפורטות לעיל, הרי שבקר הנתונים מחויב לנקוט בתשובה מתאימה. מסיבה זו, כל יזם צריך להתכונן להפרה אפשרית של הגנת מידע אישי ולהכין מודל התנהגות במקרה של אירוע כזה.

על מבקר הנתונים להודיע ​​לבעל הנתונים

חובותיו של מבקר הנתונים הקשורים לאירועי אבטחה צוינו במדויק בהוראת האמנות. 33 ו-34 ל-GDPR. עליו להודיע ​​לשני גורמים על הפרתם - נושא הנתונים ורשות הפיקוח.

במקרה של הפרה של הגנת מידע אישי, לבקר הנתונים יש שתי חובות בסיסיות:

1. הודעה על נושא הנתונים,

2. הודעה לרשות הפיקוח

- על האירוע הביטחוני שהתרחש.

החובה להודיע ​​לנושא המידע על אירוע אבטחה אינה מוחלטת - על היזם להודיע ​​לאדם זה רק כאשר הפרת ההגנה על מידע אישי עלולה לגרום לסיכון גבוה להפרת זכויות או חירויות. יש להבין את "הסיכון להפרת זכויות או חירויות" ככל המצבים שבהם לאירוע ביטחוני עלולות להיות השלכות שליליות משמעותיות על נושא הנתונים (למשל ביצוע פשע לרעתו, גניבת זהות, הפרת מוניטין וכו').

ההודעה נחוצה בראש ובראשונה בשל הצורך להגן על האינטרסים של מי שנתוניו נגנבו, אך גם בשל הצורך בהצגת ההודעה לרשות הפיקוח.

תשומת הלב!
במקרה של הפרה של הגנת המידע האישי, היזם מחויב להודיע ​​לנושא המידע על האירוע, אם האירוע חושף את בעל הנתונים להפרה של זכויותיו או חירויותיו (למשל ביצוע הונאה לרעת אדם זה באמצעות נתונים גנובים).על הסוחר לעשות זאת מיד, רצוי מיד עם גילוי ההפרה. ההודעה חייבת להיות מנוסחת בשפה פשוטה, קריאה ומובנת.

יחד עם זאת, בקר הנתונים אינו חייב להודיע ​​לאדם טבעי על אירוע אבטחה אם:

  • יישם בעבר אמצעי הגנה מתאימים (אמצעים טכניים וארגוניים) שהוחלו על הנתונים האישיים הנוגעים להפרה (בפרט הצפנת נתונים המונעת גישה של אנשים לא מורשים או אמצעים אחרים, למשל פסאודונימיזציה);

  • לאחר מכן יישם אמצעים כדי לבטל את הסבירות לסיכון גבוה להפרת הזכויות או החירויות של נושא הנתונים;

  • דיווח ידרוש מאמץ לא פרופורציונלי (למשל בשל גודל ההפרה והמספר הגדול של קורבנות פוטנציאליים). במקרה כזה, מבקר הנתונים מחויב לפרסם הודעה פומבית או אמצעי אחר בעל טווח השפעה דומה, שבאמצעותו יידעו האנשים בפועל.

חובת יידוע לרשות הפיקוח

על אף החובה ליידע את נושא המידע על אירוע ביטחוני, נדרש מבקר הנתונים להודיע ​​גם לרשות הפיקוח. נוהל הדיווח על הפרות מוסדר באמנות. 33 ל-GDPR. הגוף המפקח אליו יש לפנות להודעות הוא UODO - המשרד להגנת נתונים אישיים.

חָשׁוּב!
במקרה של הפרה של הגנת מידע אישי, על המבקר להודיע ​​למשרד הגנת נתונים אישיים על האירוע באופן מיידי, תוך מקסימום 72 שעות מרגע גילוי ההפרה.

היזם משוחרר מחובת הודעה ללשכה להגנת נתונים אישיים רק כאשר ההסתברות לפגיעה באדם טבעי ("הסיכון להפרת זכויות או חירויות" הנ"ל) נמוכה מאוד (לדוגמה, כאשר הנתונים הגנובים היה מוגן על ידי פסבדונימיזציה).

הבקשה צריכה לכלול:

  • תיאור מפורט של האירוע (כולל הקטגוריה ומספר האנשים המשוער שהנתונים שלהם נגנבו, יחד עם הקטגוריה ומספר הזנות הנתונים האישיים שהושפעו מההפרה);

  • פרטי התקשרות של מפקח הנתונים האישיים או מקור מידע אחר;

  • השלכות אפשריות של האירוע;

  • אמצעי ההגנה שיושמו או המוצעים יצמצמו את ההשפעות השליליות האפשריות של ההפרה.

אם מבקר הנתונים מדווח על האירוע לאחר 72 שעות, עליו לציין גם את סיבת העיכוב.

ללא קשר להתחייבויות הנ"ל, היזם גם מחויב לתעד את כל הפרות של הגנת מידע אישי, נסיבותיהן, השפעותיהן ופעולותיהן שננקטו בעקבותיהן - חובה זו חלה גם על אותם אירועים אשר, בשל ההוראות הנ"ל, אינם בכפוף להודעה.