Статья 33 GDPR. Уведомление надзорного органа о нарушении безопасности персональных данных
Article 33 GDPR. Notification of a personal data breach to the supervisory authority
1. В случае нарушения безопасности персональных данных, контролёр без неоправданной задержки — по возможности не позднее чем через 72 часа после обнаружения данного нарушения — должен уведомлять о ней компетентный надзорный орган в соответствии со статьей 55, за исключением случаев, когда маловероятно, что оно приведет к какому-либо риску для прав и свобод физических лиц. В случае, если уведомление не было сделано в течение 72 часов, его необходимо сопроводить объяснением причин задержки.
1. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.
[…]
[…]
3. Уведомление, упомянутое в параграфе 1, должно по меньшей мере:
3. The notification referred to in paragraph 1 shall at least:
[…]
[…]
(b) содержать имя и контактные данные инспектора по защите персональных данных или другого контактного лица, от которого можно получить более подробную информацию;
(b) communicate the name and contact details of the data protection officer or other contact point where more information can be obtained;
(c) описывать возможные последствия нарушения безопасности персональных данных;
(c) describe the likely consequences of the personal data breach;
(d) описывать меры, предпринятые или предлагаемые контролёром, для устранения нарушения безопасности персональных данных, в том числе, если уместно, меры, направленные на минимизацию ее возможных негативных последствий.
(d) describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects.
“Ясный и простой язык”
“Clear and plain language”
При наличии письменной информации (а также в тех случаях, когда письменная информация предоставляется в устной форме или аудио-/визуальными методами, в том числе для лиц с нарушениями зрения) следует придерживаться рекомендуемой практики ясной манеры письма. Аналогичное языковое требование (“простого, понятного языка”) ранее использовалось законодателем ЕС, а также прямо упоминается в контексте согласия в Преамбуле 42 GDPR. Требование ясного и простого языка означает, что информация должна быть изложена в как можно более простой манере, избегая сложных фраз и языковых структур. Информация должна быть конкретной и окончательной; она не должен быть сформулирована абстрактно или двусмысленно или оставлять возможность различных толкований. В частности, должны быть ясны цели и правовое основание обработки персональных данных.
With written information (and where written information is delivered orally, or by audio/ audiovisual methods, including for vision-impaired data subjects), best practices for clear writing should be followed.11 A similar language requirement (for “plain, intelligible language”) has previously been used by the EU legislator12 and is also explicitly referred to in the context of consent in Recital 42 of the GDPR13. The requirement for clear and plain language means that information should be provided in as simple a manner as possible, avoiding complex sentence and language structures. The information should be concrete and definitive; it should not be phrased in abstract or ambivalent terms or leave room for different interpretations. In particular the purposes of, and legal basis for, processing the personal data should be clear.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 34 GDPR:
6.13.1.1 Обязанности и процедуры
Руководство по внедрению
В рамках общего процесса управления инцидентами информационной безопасности организация должна установить обязанности и процедуры для выявления и регистрации нарушений PII. Кроме того, организация должна установить обязанности и процедуры, связанные с уведомлением требуемых сторон о нарушениях PII (включая время таких уведомлений) и раскрытием властям, принимая во внимание применимое законодательство и / или регулирование.
…
Войти
для доступа к полному тексту