RODO: наслідки витоку персональних даних з компанії

Дослідження Європейської комісії показує, що понад 75% європейців стурбовані своєю безпекою в соціальних мережах і пошукових системах . Вони вважають, що їхні дані будуть використані не за призначенням. Такий був стан справ на початку дії регламенту RODO. Сьогодні ситуація інша: персональні дані в ціні, а закон передбачає суворі покарання за їх порушення. Які зобов’язання має бізнес у цьому відношенні і з якими наслідками він може зіткнутися?

Витік даних – це реальна і серйозна проблема, яка зачіпає в середньому кілька мільйонів користувачів, чиї електронні адреси, номери телефонів та інші конфіденційні дані потрапили в чужі руки. Час від часу ми чуємо про витоки даних у різних компаніях. Компанії зазнають не лише майнових збитків, але й іміджевих втрат.

Витік даних в контексті RODO

У Законі немає такого формулювання, як “витік даних”, а йдеться, наприклад, про порушення даних.

• навмисне пошкодження
• втрата даних
• модифікація
• несанкціоноване розголошення
• несанкціонований доступ.

Тому йдеться не лише про хакерські атаки, але й про ситуації, які становлять серйозні ризики для суб’єктів даних. Це може крадіжка особистих даних, вимагання кредиту, здійснення покупок в Інтернеті, оренда житла тощо. Людина, яка втратила дані, залишиться з боргами і може бути підозрюваною у скоєнні злочину.

Безпека даних та RODO. Бізнес-зобов’язання

Порушення даних відбувається, коли дані не можуть бути використані контролером, тобто власником даних (наприклад, структура порушена, доступ заблокований) або взагалі не існують (знищені).

Після того, як сталося будь-яке порушення даних, підприємець зобов’язаний протягом 72 годин повідомити про це наглядовий орган . Таким органом є Президент Управління з питань захисту персональних даних (PUODO). Якщо ситуація серйозна, слід також повідомити тих, чиї дані порушено. Тоді вони можуть спробувати захистити те, що ще залишилося. Про порушення повідомляється на веб-сайті PUODO шляхом заповнення форми.

У яких ситуаціях обов’язково потрібно повідомляти про витік даних?

• коли суб’єкти даних можуть бути позбавлені своїх прав чи свобод або можливості контролювати власні персональні дані;
• коли обробляються чутливі дані , тобто дані, що розкривають расове або етнічне походження, політичні погляди, релігію, філософські переконання або членство в профспілці, а також генетичні дані, здоров’я, сексуальне життя, кримінальні судимості та правопорушення або пов’язані з ними заходи безпеки;
• відбувається автоматизована обробка даних, включаючи профілювання;
• обробляються дані вразливих осіб, особливо дітей;
• обробка даних відбувається у великих масштабах і зачіпає значну кількість суб’єктів даних .

Розмір штрафних санкцій до трейдера за порушення даних

RODO накладає суворі обмеження на власників бізнесу, які не дотримуються своїх зобов’язань. Підприємці, які обробляють велику кількість даних, зобов’язані захистити їх від витоку з компанії, особливо від випадкового або навмисного знищення та доступу сторонніх осіб.

Якщо підприємець не вжив відповідних технічних та організаційних заходів, це є підставою для адміністративного штрафу в розмірі до 10 000 000 євро, а у випадку компанії – до 2% від її загального річного світового обороту за попередній фінансовий рік. Якщо 2% цього обороту перевищує суму в 10 000 000 євро , то більша сума є верхньою межею. Тому важливою є швидка реакція та передусім вжиття превентивних заходів.

Що робити бізнесу, якщо він хоче повністю захистити дані?

1. Вам необхідно ознайомитися з регламентом RODO, який описує, що контролер або процесор зобов’язаний оцінити ризики, що виникають при обробці даних, і вжити контрзаходів, таких як шифрування даних (інформація кодується, одержувач, який не має так званого ключа для розшифровки, не зможе прочитати повідомлення), псевдонімізація (обробка даних таким чином, щоб їх не можна було віднести до конкретної особи) або анонімізація (унеможливлення безповоротної ідентифікації особи).
2. Забезпечення інших превентивних заходів, передбачених Законом:
   • здатність постійно забезпечувати конфіденційність, цілісність, доступність та відмовостійкість систем та сервісів обробки;
   • можливість швидко відновити наявність та доступ до персональних даних у разі фізичного або технічного інциденту;
   • регулярно тестувати, вимірювати та оцінювати ефективність технічних та організаційних заходів для забезпечення безпеки обробки.
3. Необхідно впроваджувати ІТ-технології, які захищають від витоку, крадіжки, хакерських атак або випадкової втрати даних. Одним з таких рішень є так зване Data Leak Prevention (також DataLoss Prevention – DLP).
4. Наявність хорошого антивірусного та брандмауерного програмного забезпечення.
5. Підписання співробітниками, підрядниками, фрілансерами положення про конфіденційність на самому початку співпраці, щоб вони усвідомлювали, що дані, які обробляються, є конфіденційними. Деякі випадки витоку даних відбуваються через свідому чи несвідому поведінку співробітників.
6. Уважність на щоденній основі, наприклад, не писати паролі доступу на дошці над столом або робочим столом та в інших небезпечних ситуаціях.

Безпека даних на ITH.EU

Тема кібербезпеки є пріоритетною для наших фахівців, особливо з точки зору телекомунікаційної компанії. Ласкаво просимо до пакету ITH Protection, який включає в себе аудит та моніторинг, захист мережі, хмарний брандмауер та VPN.