1. Если нарушение безопасности персональных данных с высокой вероятностью приведет к риску с высокой серьезностью нарушения прав и свобод физических лиц, контролёр без неоправданной задержки должен уведомить субъекта данных о данном нарушении.
3. Уведомление субъекта данных, упомянутое в параграфе 1, не требуется в любом из следующих случаев:
(а) контролёр ранее применил надлежащие технические и организационные защитные меры, и данные меры были приняты также к данным, которые пострадали в результате нарушения безопасности персональных данных, в частности, были приняты такие меры, которые делают невозможным чтение этих данных любым лицом, которое не имеет прав на доступ к ним, например, шифрование;
(b) контролёр принял последующие меры, которые исключают вероятность материализации высокого риска для прав и свобод субъектов данных, указанных в параграфе 1;
(c) оно бы потребовало несопоставимых усилий. В таком случае, вместо этого производится информирование общественности или предпринимается похожее действие, с помощью которого субъекты данных информируются настолько же эффективно.
4. Если контролёр еще не уведомил субъекта данных о нарушении безопасности персональных данных, надзорный орган, приняв во внимание вероятность того, что в результате данного нарушения наступит высокий риск, может потребовать контролёра это сделать или может установить, что было реализовано одно из условий, указанных в параграфе 3.
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО “Дата Прайваси Офис”.
(75) Риск для прав и свобод физических лиц разной степени вероятности и серьезности может возникать в результате обработки персональных данных, которая может привести к физическому, материальному или нематериальному ущербу, в частности, в случаях, когда обработка может вызвать дискриминацию, кражу личности или ее мошенническое использование, финансовые потери, ущерб для репутации, нарушение конфиденциальности персональных данных, находящихся под защитой профессиональной тайны, несанкционированную отмену псевдонимизации, или создать другие значительные экономические или социальные проблемы; в случаях, когда субъекты данных могут быть лишены своих прав и свобод или возможности осуществлять контроль над своими персональными данными; в случаях, когда обрабатываются персональные данные, которые раскрывают расовое или этническое происхождение, политические убеждения, религиозные и философские воззрения, членство в профессиональных союзах, а также когда обрабатываются генетические данные, данные, касающиеся здоровья, данные о сексуальной жизни, уголовных судимостях и правонарушениях или о связанных с ними мерах безопасности; в случаях, когда оцениваются персональные аспекты, в частности, анализируются или прогнозируются аспекты, касающихся трудовых показателей, экономической ситуации, здоровья, личных предпочтений, интересов, благонадёжности, поведения, местонахождения или передвижения, в целях создания или использования персональных профилей; в случаях, когда обрабатываются персональные данные слабозащищённых физических лиц, в частности, детей; или в случаях, когда обработка охватывает большое количество персональных данных и затрагивает большое количество субъектов данных.
(86) Контролёр должен без неоправданной задержки сообщить субъекту данных о нарушении безопасности персональных данных, когда такое нарушение с большой вероятностью может представлять высокий риск нарушения прав и свобод физических лиц, для того, чтобы предоставить им возможность предпринять необходимые меры предосторожности. Сообщение должно описывать характер нарушения и рекомендации для физических лиц как уменьшить возможные неблагоприятные последствия. Такое сообщение субъекту данных должно быть сделано как только представляется возможным, в тесном сотрудничестве с надзорным органом, руководствуясь указаниями этого органа или других соответствующих органов, таких как правоохранительные органы. Например, необходимость минимизации непосредственного риска причинения вреда может потребовать оперативного уведомления субъектов данных, в то время как необходимость принятия соответствующих мер в отношении длящихся или схожих нарушений безопасности персональных данных может обосновывать затрату большего количества времени на сообщение.
(87) Следует выяснить, была ли использована вся соответствующая технологическая защита и организационные меры по незамедлительному установлению нарушения безопасности персональных данных и информирования надзорного органа и субъекта данных. Тот факт, что уведомление было сделано без неоправданной задержки, должен быть установлен с учетом, в частности, характера и серьезности нарушения безопасность персональных данных, его последствий, а также неблагоприятного воздействия на субъекта данных. Такое уведомление может привести к вмешательству надзорного органа в соответствии с его задачами и полномочиями, предусмотренными настоящим Регламентом.
(88) При установлении подробных правил, касающихся формата и процедур, применимых к уведомлению о нарушении безопасности персональных данных, следует уделить должное внимание обстоятельствам такого нарушения, том числе каким образом персональные данные были защищены соответствующими мерами технической защиты, эффективно ограничивающими вероятность фальсификации персональных данных или иных форм злоупотреблений использованием персональных данных. Более того, такие правила и процедуры должны учитывать законные интересы правоохранительных органов, когда раннее раскрытие информации может воспрепятствовать расследованию обстоятельств утечки персональных данных.
Article 29 Working Party, Opinion 03/2014 on “Personal Data Breach Notification (2014).
Article 29 Working Party, Guidelines on Personal data breach notification under Regulation 2016/679 (2018).
EDPB, Guidelines 1/2021 on Examples regarding Data Breach Notification (2021).
DPC (Ireland), Guidance for Individuals who Accidentally Receive Personal data (2020).
ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.
Here is the relevant paragraph to article 34 GDPR:
6.13.1.1 Responsibilities and procedures
Implementation guidance
As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.
[…]
Sign in
to read the full text