(75) Риск для прав и свобод физических лиц разной степени вероятности и серьезности может возникать в результате обработки персональных данных, которая может привести к физическому, материальному или нематериальному ущербу, в частности, в случаях, когда обработка может вызвать дискриминацию, кражу личности или ее мошенническое использование, финансовые потери, ущерб для репутации, нарушение конфиденциальности персональных данных, находящихся под защитой профессиональной тайны, несанкционированную отмену псевдонимизации, или создать другие значительные экономические или социальные проблемы; в случаях, когда субъекты данных могут быть лишены своих прав и свобод или возможности осуществлять контроль над своими персональными данными; в случаях, когда обрабатываются персональные данные, которые раскрывают расовое или этническое происхождение, политические убеждения, религиозные и философские воззрения, членство в профессиональных союзах, а также когда обрабатываются генетические данные, данные, касающиеся здоровья, данные о сексуальной жизни, уголовных судимостях и правонарушениях или о связанных с ними мерах безопасности; в случаях, когда оцениваются персональные аспекты, в частности, анализируются или прогнозируются аспекты, касающихся трудовых показателей, экономической ситуации, здоровья, личных предпочтений, интересов, благонадёжности, поведения, местонахождения или передвижения, в целях создания или использования персональных профилей; в случаях, когда обрабатываются персональные данные слабозащищённых физических лиц, в частности, детей; или в случаях, когда обработка охватывает большое количество персональных данных и затрагивает большое количество субъектов данных.
(85) Нарушение безопасности персональных данных, если оно не было надлежащим образом и вовремя устранено, может повлечь физический, материальный или моральный вред физическим лицам, как, например, потеря контроля над их персональными данными или ограничение их прав, дискриминация, кража личности или ее мошенническое использование, финансовые потери, несанкционированная повторная идентификация псевдонимизированных данных, ущерб репутации, нарушение конфиденциальности персональных данных, защищенных профессиональной тайной, или любой другой значительный экономический или социальный вред, нанесенный физическому лицу. Поэтому, как только контролёру становится известно о нарушении безопасности персональных данных, он обязан уведомить о таком нарушении надзорный орган без неоправданной задержки и, по возможности, не позднее 72 часов, за исключением случаев, когда контролёр может подтвердить, в соответствии с принципом подотчетности, что нарушение безопасности персональных данных с малой вероятностью может представлять риск нарушения прав и свобод физических лиц. В случаях, когда подобное уведомление не может быть сделано в течение 72 часов, причины такой задержки должны сопровождать уведомление и информация может предоставляться поэтапно без дополнительной задержки.
(86) Контролёр должен без неоправданной задержки сообщить субъекту данных о нарушении безопасности персональных данных, когда такое нарушение с большой вероятностью может представлять высокий риск нарушения прав и свобод физических лиц, для того, чтобы предоставить им возможность предпринять необходимые меры предосторожности. Сообщение должно описывать характер нарушения и рекомендации для физических лиц как уменьшить возможные неблагоприятные последствия. Такое сообщение субъекту данных должно быть сделано как только представляется возможным, в тесном сотрудничестве с надзорным органом, руководствуясь указаниями этого органа или других соответствующих органов, таких как правоохранительные органы. Например, необходимость минимизации непосредственного риска причинения вреда может потребовать оперативного уведомления субъектов данных, в то время как необходимость принятия соответствующих мер в отношении длящихся или схожих нарушений безопасности персональных данных может обосновывать затрату большего количества времени на сообщение.
(86) The controller should communicate to the data subject a personal data breach, without undue delay, where that personal data breach is likely to result in a high risk to the rights and freedoms of the natural person in order to allow him or her to take the necessary precautions. The communication should describe the nature of the personal data breach as well as recommendations for the natural person concerned to mitigate potential adverse effects. Such communications to data subjects should be made as soon as reasonably feasible and in close cooperation with the supervisory authority, respecting guidance provided by it or by other relevant authorities such as law-enforcement authorities. For example, the need to mitigate an immediate risk of damage would call for prompt communication with data subjects whereas the need to implement appropriate measures against continuing or similar personal data breaches may justify more time for communication.
(87) Следует выяснить, была ли использована вся соответствующая технологическая защита и организационные меры по незамедлительному установлению нарушения безопасности персональных данных и информирования надзорного органа и субъекта данных. Тот факт, что уведомление было сделано без неоправданной задержки, должен быть установлен с учетом, в частности, характера и серьезности нарушения безопасность персональных данных, его последствий, а также неблагоприятного воздействия на субъекта данных. Такое уведомление может привести к вмешательству надзорного органа в соответствии с его задачами и полномочиями, предусмотренными настоящим Регламентом.
(87) It should be ascertained whether all appropriate technological protection and organisational measures have been implemented to establish immediately whether a personal data breach has taken place and to inform promptly the supervisory authority and the data subject. The fact that the notification was made without undue delay should be established taking into account in particular the nature and gravity of the personal data breach and its consequences and adverse effects for the data subject. Such notification may result in an intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation.
(88) При установлении подробных правил, касающихся формата и процедур, применимых к уведомлению о нарушении безопасности персональных данных, следует уделить должное внимание обстоятельствам такого нарушения, том числе каким образом персональные данные были защищены соответствующими мерами технической защиты, эффективно ограничивающими вероятность фальсификации персональных данных или иных форм злоупотреблений использованием персональных данных. Более того, такие правила и процедуры должны учитывать законные интересы правоохранительных органов, когда раннее раскрытие информации может воспрепятствовать расследованию обстоятельств утечки персональных данных.
(88) In setting detailed rules concerning the format and procedures applicable to the notification of personal data breaches, due consideration should be given to the circumstances of that breach, including whether or not personal data had been protected by appropriate technical protection measures, effectively limiting the likelihood of identity fraud or other forms of misuse. Moreover, such rules and procedures should take into account the legitimate interests of law-enforcement authorities where early disclosure could unnecessarily hamper the investigation of the circumstances of a personal data breach.
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.
Here is the relevant paragraph to article 34 GDPR:
6.13.1.1 Responsibilities and procedures
Implementation guidance
As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.
Some jurisdictions impose specific regulations regarding breach responses, including notification. Organizations operating in these jurisdictions should ensure that they can demonstrate compliance with these regulations.
ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.5.
Here is the relevant paragraph to articles 34(1) and 34(2) GDPR:
6.13.1.5 Response to information security incidents
Implementation guidance for PII controllers
An incident that involves PII should trigger a review by the organization, as part of its information security incident management process, to determine if a breach involving PII that requires a response has taken place.
An event does not necessarily trigger such a review.
NOTE 1 An information security event does not necessarily result in actual, or the significant probability of, unauthorized access to PII or to any of the organization’s equipment or facilities storing PII. These can include, but are not limited to, pings and other broadcast attacks on firewalls or edge servers, port scans, unsuccessful log-on attempts, denial of service attacks and packet sniffing.
When a breach of PII has occurred, response procedures should include relevant notifications and records.
Some jurisdictions define cases when the breach should be notified to the supervisory authority, and when it should be notified to PII principals.
Notifications should be clear and can be required.
NOTE 2 Notification can contain details such as:
— a contact point where more information can be obtained;
— a description of and the likely consequences of the breach;
— a description of the breach including the number of individuals concerned as well as the number of records concerned;
— measures taken or planned to be taken.
NOTE 3 Information on the management of security incidents can be found in the ISO/IEC 27035 series.
Where a breach involving PII has occurred, a record should be maintained with sufficient information to provide a report for regulatory and/or forensic purposes, such as:
— a description of the incident;
— the time period;
— the consequences of the incident;
— the name of the reporter;
— to whom the incident was reported;
— the steps taken to resolve the incident (including the person in charge and the data recovered);
— the fact that the incident resulted in unavailability, loss, disclosure or alteration of PII.
In the event that a breach involving PII has occurred, the record should also include a description of the PII compromised, if known; and if notifications were performed, the steps taken to notify PII principals, regulatory agencies or customers.
Implementation guidance for PII processors
Provisions covering the notification of a breach involving PII should form part of the contract between the organization and the customer. The contract should specify how the organization will provide the information necessary for the customer to fulfil their obligation to notify relevant authorities. This notification obligation does not extend to a breach caused by the customer or PII principal or within system components for which they are responsible. The contract should also define expected and externally mandated limits for notification response times.
In some jurisdictions, the PII processor should notify the PII controller of the existence of a breach without undue delay (i.e. as soon as possible), preferably, as soon as it is discovered so that the PII controller can take the appropriate actions.
Where a breach involving PII has occurred, a record should be maintained with sufficient information to provide a report for regulatory and/or forensic purposes, such as:
— a description of the incident;
— the time period;
— the consequences of the incident;
— the name of the reporter;
— to whom the incident was reported;
— the steps taken to resolve the incident (including the person in charge and the data recovered);
— the fact that the incident resulted in unavailability, loss, disclosure or alteration of PII.
In the event that a breach involving PII has occurred, the record should also include a description of the PII compromised, if known; and if notifications were performed, the steps taken to notify the customer and/or the regulatory agencies.
In some jurisdictions, applicable legislation and/or regulation can require the organization to directly notify appropriate regulatory authorities (e.g. a PII protection authority) of a breach involving PII.