1. В случае нарушения безопасности персональных данных, контролёр без неоправданной задержки – по возможности не позднее чем через 72 часа после обнаружения данного нарушения – должен уведомлять о ней компетентный надзорный орган в соответствии со статьей 55, за исключением случаев, когда маловероятно, что оно приведет к какому-либо риску для прав и свобод физических лиц. В случае, если уведомление не было сделано в течение 72 часов, его необходимо сопроводить объяснением причин задержки.
2. Без неоправданной задержки после обнаружения нарушения безопасности персональных данных процессор обязан уведомить о ней контролёра.
(a) описывать характер нарушения безопасности персональных данных, в том числе по возможности, указывать категории и приблизительное количество пострадавших субъектов данных, а также категории и приблизительное количество затронутых записей персональных данных;
(b) содержать имя и контактные данные инспектора по защите персональных данных или другого контактного лица, от которого можно получить более подробную информацию;
(d) описывать меры, предпринятые или предлагаемые контролёром, для устранения нарушения безопасности персональных данных, в том числе, если уместно, меры, направленные на минимизацию ее возможных негативных последствий.
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО “Дата Прайваси Офис”.
(75) Риск для прав и свобод физических лиц разной степени вероятности и серьезности может возникать в результате обработки персональных данных, которая может привести к физическому, материальному или нематериальному ущербу, в частности, в случаях, когда обработка может вызвать дискриминацию, кражу личности или ее мошенническое использование, финансовые потери, ущерб для репутации, нарушение конфиденциальности персональных данных, находящихся под защитой профессиональной тайны, несанкционированную отмену псевдонимизации, или создать другие значительные экономические или социальные проблемы; в случаях, когда субъекты данных могут быть лишены своих прав и свобод или возможности осуществлять контроль над своими персональными данными; в случаях, когда обрабатываются персональные данные, которые раскрывают расовое или этническое происхождение, политические убеждения, религиозные и философские воззрения, членство в профессиональных союзах, а также когда обрабатываются генетические данные, данные, касающиеся здоровья, данные о сексуальной жизни, уголовных судимостях и правонарушениях или о связанных с ними мерах безопасности; в случаях, когда оцениваются персональные аспекты, в частности, анализируются или прогнозируются аспекты, касающихся трудовых показателей, экономической ситуации, здоровья, личных предпочтений, интересов, благонадёжности, поведения, местонахождения или передвижения, в целях создания или использования персональных профилей; в случаях, когда обрабатываются персональные данные слабозащищённых физических лиц, в частности, детей; или в случаях, когда обработка охватывает большое количество персональных данных и затрагивает большое количество субъектов данных.
(85) Нарушение безопасности персональных данных, если оно не было надлежащим образом и вовремя устранено, может привести к физическому, материальному или моральному вреду физическим лицам, например, к потере контроля над их персональными данными или ограничению их прав, дискриминации, краже личности или ее мошенническому использованию, финансовым потерям, несанкционированной отмене псевдонимизации данных, ущербу репутации, нарушению конфиденциальности персональных данных, защищенных профессиональной тайной, или любому другому значительному экономический или социальный ущербу для физическому лицу. Поэтому, как только контролёру становится известно о нарушении безопасности персональных данных, он обязан уведомить о таком нарушении надзорный орган без неоправданной задержки и, по возможности, не позднее 72 часов, за исключением случаев, когда контролёр может подтвердить, в соответствии с принципом подотчетности, что нарушение безопасности персональных данных с малой вероятностью может представлять риск нарушения прав и свобод физических лиц. В случаях, когда подобное уведомление не может быть сделано в течение 72 часов, причины такой задержки должны сопровождать уведомление и информация может предоставляться поэтапно без дополнительной необоснованной задержки.
(87) Следует выяснить, была ли использована вся соответствующая технологическая защита и организационные меры по незамедлительному установлению нарушения безопасности персональных данных и информирования надзорного органа и субъекта данных. Тот факт, что уведомление было сделано без неоправданной задержки, должен быть установлен с учетом, в частности, характера и серьезности нарушения безопасность персональных данных, его последствий, а также неблагоприятного воздействия на субъекта данных. Такое уведомление может привести к вмешательству надзорного органа в соответствии с его задачами и полномочиями, предусмотренными настоящим Регламентом.
(88) При установлении подробных правил, касающихся формата и процедур, применимых к уведомлению о нарушении безопасности персональных данных, следует уделить должное внимание обстоятельствам такого нарушения, том числе каким образом персональные данные были защищены соответствующими мерами технической защиты, эффективно ограничивающими вероятность фальсификации персональных данных или иных форм злоупотреблений использованием персональных данных. Более того, такие правила и процедуры должны учитывать законные интересы правоохранительных органов, когда раннее раскрытие информации может воспрепятствовать расследованию обстоятельств утечки персональных данных.
Article 29 Working Party, Opinion 03/2014 on “Personal Data Breach Notification (2014).
Article 29 Working Party, Guidelines on Personal Data Breach Notification Under Regulation 2016/679 (2018).
EDPB, Guidelines 1/2021 on Examples regarding Data Breach Notification (2021).
DPC (Ireland), Guidance for Individuals who Accidentally Receive Personal data (2020).
ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.
Here is the relevant paragraph to article 33 GDPR:
6.13.1.1 Responsibilities and procedures
Implementation guidance
As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.
[…]
Sign in
to read the full text