Навигация
GDPR > Статья 33. Уведомление надзорного органа о нарушении безопасности персональных данных
Скачать в PDF

Статья 33 GDPR. Уведомление надзорного органа о нарушении безопасности персональных данных

1. В случае нарушения безопасности персональных данных, контролёр без неоправданной задержки — по возможности не позднее чем через 72 часа после обнаружения данного нарушения — должен уведомлять о ней компетентный надзорный орган в соответствии со статьей 55, за исключением случаев, когда маловероятно, что оно приведет к какому-либо риску для прав и свобод физических лиц. В случае, если уведомление не было сделано в течение 72 часов, его необходимо сопроводить объяснением причин задержки.

Связанные статьи

2. Без неоправданной задержки после обнаружения нарушения безопасности персональных данных процессор обязан уведомить о ней контролёра.

3. Уведомление, упомянутое в параграфе 1, должно по меньшей мере:

(a) описывать характер нарушения безопасности персональных данных, в том числе по возможности, указывать категории и приблизительное количество пострадавших субъектов данных, а также категории и приблизительное количество затронутых записей персональных данных;

(b) содержать имя и контактные данные инспектора по защите персональных данных или другого контактного лица, от которого можно получить более подробную информацию;

(c) описывать возможные последствия нарушения безопасности персональных данных;

(d) описывать меры, предпринятые или предлагаемые контролёром, для устранения нарушения безопасности персональных данных, в том числе, если уместно, меры, направленные на минимизацию ее возможных негативных последствий.

4. В случае если и постольку, поскольку не возможно предоставить информацию единовременно, она может быть предоставлена поэтапно без дальнейшей неоправданной задержки.

5. Контролёр обязан задокументировать любые нарушения безопасности персональных данных, в том числе их обстоятельства, последствия и меры, принятые для исправления ситуации. Эта документация должна обеспечивать возможность проверки надзорным органом соблюдения настоящей статьи.

ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 33 GDPR:

6.13.1.1 Обязанности и процедуры

Руководство по внедрению

В рамках общего процесса управления инцидентами информационной безопасности организация должна установить обязанности и процедуры для выявления и регистрации нарушений PII. Кроме того, организация должна установить обязанности и процедуры, связанные с уведомлением требуемых сторон о нарушениях PII (включая время таких уведомлений) и раскрытием властям, принимая во внимание применимое законодательство и / или регулирование.


для доступа к полному тексту

Преамбулы

(75) Риск для прав и свобод физических лиц разной степени вероятности и серьезности может возникать в результате обработки персональных данных, которая может привести к физическому, материальному или нематериальному ущербу, в частности, в случаях, когда обработка может вызвать дискриминацию, кражу личности или ее мошенническое использование, финансовые потери, ущерб для репутации, нарушение конфиденциальности персональных данных, находящихся под защитой профессиональной тайны, несанкционированную отмену псевдонимизации, или создать другие значительные экономические или социальные проблемы; в случаях, когда субъекты данных могут быть лишены своих прав и свобод или возможности осуществлять контроль над своими персональными данными; в случаях, когда обрабатываются персональные данные, которые раскрывают расовое или этническое происхождение, политические убеждения, религиозные и философские воззрения, членство в профессиональных союзах, а также когда обрабатываются генетические данные, данные, касающиеся здоровья, данные о сексуальной жизни, уголовных судимостях и правонарушениях или о связанных с ними мерах безопасности; в случаях, когда оцениваются персональные аспекты, в частности, анализируются или прогнозируются аспекты, касающихся трудовых показателей, экономической ситуации, здоровья, личных предпочтений, интересов, благонадёжности, поведения, местонахождения или передвижения, в целях создания или использования персональных профилей; в случаях, когда обрабатываются персональные данные слабозащищённых физических лиц, в частности, детей; или в случаях, когда обработка охватывает большое количество персональных данных и затрагивает большое количество субъектов данных.

(85) Нарушение безопасности персональных данных, если оно не было надлежащим образом и вовремя устранено, может привести к физическому, материальному или моральному вреду физическим лицам, например, к потере контроля над их персональными данными или ограничению их прав, дискриминации, краже личности или ее мошенническому использованию, финансовым потерям, несанкционированной отмене псевдонимизации данных, ущербу репутации, нарушению конфиденциальности персональных данных, защищенных профессиональной тайной, или любому другому значительному экономический или социальный ущербу для физическому лицу. Поэтому, как только контролёру становится известно о нарушении безопасности персональных данных, он обязан уведомить о таком нарушении надзорный орган без неоправданной задержки и, по возможности, не позднее 72 часов, за исключением случаев, когда контролёр может подтвердить, в соответствии с принципом подотчетности, что нарушение безопасности персональных данных с малой вероятностью может представлять риск нарушения прав и свобод физических лиц. В случаях, когда подобное уведомление не может быть сделано в течение 72 часов, причины такой задержки должны сопровождать уведомление и информация может предоставляться поэтапно без дополнительной необоснованной задержки.

(87) Следует выяснить, была ли использована вся соответствующая технологическая защита и организационные меры по незамедлительному установлению нарушения безопасности персональных данных и информирования надзорного органа и субъекта данных. Тот факт, что уведомление было сделано без неоправданной задержки, должен быть установлен с учетом, в частности, характера и серьезности нарушения безопасность персональных данных, его последствий, а также неблагоприятного воздействия на субъекта данных. Такое уведомление может привести к вмешательству надзорного органа в соответствии с его задачами и полномочиями, предусмотренными настоящим Регламентом.

(88) При установлении подробных правил, касающихся формата и процедур, применимых к уведомлению о нарушении безопасности персональных данных, следует уделить должное внимание обстоятельствам такого нарушения, том числе каким образом персональные данные были защищены соответствующими мерами технической защиты, эффективно ограничивающими вероятность фальсификации персональных данных или иных форм злоупотреблений использованием персональных данных. Более того, такие правила и процедуры должны учитывать законные интересы правоохранительных органов, когда раннее раскрытие информации может воспрепятствовать расследованию обстоятельств утечки персональных данных.

Руководство и прецедентное право Оставить комментарий
[js-disqus]