4. Article 4
Definitions
(12) «Personal data breach» means a breach
of security leading to the accidental or
unlawful destruction, loss, alteration,
unauthorised disclosure of, or access to,
personal data transmitted, stored or
otherwise processed.
Статья 4
Понятийно-терминологическая основа
(12) «Утечка персональных данных» –
означает нарушение безопасности,
приводящее к случайному или
противозаконному уничтожению, потере,
изменению, несанкционированному
раскрытию или доступу к персональным
данным, переданных, хранящихся или
обработанных иным образом.
5. GDPR: “(85) Утечка персональных данных, если она надлежащим образом и
своевременно не была устранена, может привести к физическому,
материальному или нематериальному ущербу для физических лиц, таким
как утрата контроля над персональными данными или ограничение их прав,
дискриминация, кража идентификационных данных или мошенничество с
персональными данными, финансовые потери, несанкционированный отказ
от псевдонимизации, ущерб репутации, нарушение конфиденциальности
персональных данных, защищённых профессиональной тайной, или любые
иные существенные экономические или социальные потери для
соответствующих физических лиц…”
Почему важно контролировать утечки?
6. Уведомление об утечках по GDPR
Supervisory authority
(Надзорный орган)
Art.33
Data subjects
(Субъекты данных)
Art.34
7. Article 33
Notification of a personal data breach to
the supervisory authority
1.In the case of a personal data breach, the
controller shall without undue delay and,
where feasible, not later than 72 hours after
having become aware of it, notify the
personal data breach to the supervisory
authority competent in accordance with
Article 55, unless the personal data breach is
unlikely to result in a risk to the rights and
freedoms of natural persons. Where the
notification to the supervisory authority is not
made within 72 hours, it shall be
accompanied by reasons for the delay.
2.The processor shall notify the controller
without undue delay after becoming aware of
a personal data breach.
Статья 33
Уведомление надзорного органа об
утечке персональных данных
1.В случае утечки персональных данных
контролёр, без неоправданной задержки и,
при наличии соответствующей
возможности, не позднее чем через 72
часа после того, как он узнает об этом,
уведомляет об утечке персональных
данных компетентный надзорный орган в
соответствии со Статьей 55, кроме случаев,
когда эта утечка персональных данных едва
ли обернется рисками для прав и свобод
физических лиц. В случае если
уведомление надзорного органа не
произведено в течение 72 часов, в нем
должны быть указать причины задержки.
2.Обработчик должен уведомить
контролёра без неоправданной задержки
об утечке персональных данных как только
ему стало известно об утечке персональных
данных.
8. 3.The notification referred to in paragraph 1
shall at least:
(a) describe the nature of the personal data
breach including where possible, the
categories and approximate number of data
subjects concerned and the categories and
approximate number of personal data records
concerned;
(b) communicate the name and contact
details of the data protection officer or other
contact point where more information can be
obtained;
(c) describe the likely consequences of the
personal data breach;
(d) describe the measures taken or proposed
to be taken by the controller to address the
personal data breach, including, where
appropriate, measures to mitigate its possible
adverse effects.
3.Уведомление, предусмотренное
параграфом 1, должно как минимум:
(a) описывать характер утечки
персональных данных, в том числе, когда
это возможно, категории и
приблизительное количество
соответствующих субъектов данных, а
также категории и приблизительное
количество соответствующих записей
персональных данных;
(b) сообщать наименование и реквизиты
инспектора по защите персональных
данных или иного контактного пункта, где
может быть получена более подробная
информация;
(c) описывать вероятные последствия
утечки персональных данных;
(d) описывать меры, предпринятые или
предполагаемые к принятию контролёром
в ответ на утечки персональных, в том
числе, в необходимых случаях, меры по
смягчению возможных неблагоприятных
последствий таких утечек.
9. 4.Where, and in so far as, it is not possible to
provide the information at the same time, the
information may be provided in phases
without undue further delay.
5.The controller shall document any personal
data breaches, comprising the facts relating to
the personal data breach, its effects and the
remedial action taken. That documentation
shall enable the supervisory authority to
verify compliance with this Article.
4.Если, и в том случае когда, невозможно
предоставить информацию
единовременно, эта информация может
предоставляться поэтапно без
неоправданной дальнейшей задержки.
5.Контролёр должен документировать
любые утечки персональных данных,
содержащие факты, касающиеся утечки
персональных данных, их последствий, а
также предпринятых меры по устранению
последствий. Такая документация должна
позволять надзорному органу проверить
соблюдение настоящей Статьи.
10. Article 34
Communication of a personal data breach to
the data subject
1.When the personal data breach is likely to
result in a high risk to the rights and
freedoms of natural persons, the controller
shall communicate the personal data breach
to the data subject without undue delay.
2.The communication to the data subject
referred to in paragraph 1 of this Article shall
describe in clear and plain language the
nature of the personal data breach and
contain at least the information and
measures referred to in points (b), (c) and (d)
of Article 33(3).
Статья 34
Сообщение субъекту данных об утечке
персональных данных
1.В тех случаях, когда утечка персональных
данных, вероятнее всего приведет к
высокому риску для прав и свобод
физических лиц, контролёр должен
сообщить субъекту данных об утечке
персональных данных, без
необоснованной задержки.
2. Сообщение субъекту данных,
предусмотренное параграфом 1 настоящей
Статьи, должно излагать ясным и простым
языком характер утечки персональных
данных, а также содержать как минимум
информацию и меры, предусмотренные в
пунктах (b), (c) и (d) Статьи 33(3).
11. 3.The communication to the data subject
referred to in paragraph 1 shall not be required
if any of the following conditions are met:
(a) the controller has implemented appropriate
technical and organisational protection
measures, and those measures were applied to
the personal data affected by the personal data
breach, in particular those that render the
personal data unintelligible to any person who is
not authorised to access it, such as encryption;
(b) the controller has taken subsequent
measures which ensure that the high risk to the
rights and freedoms of data subjects referred to
in paragraph 1 is no longer likely to materialise;
(c) it would involve disproportionate effort. In
such a case, there shall instead be a public
communication or similar measure whereby the
data subjects are informed in an equally effective
manner.
3.Сообщение субъекту данных,
предусмотренное параграфом 1, не требуется,
если выполнено любое из следующих
условий:
(a) контролёр принял надлежащие
технические и организационные меры
защиты, и такие меры были применены в
отношении персональных данных,
затронутых утечкой, в том числе и такие
меры, которые отображают персональные
данные в непонятном виде для любого лица,
которое не имеет права доступа к ним, среди
которых криптографическая защита;
(b) контролёр предпринял последующие
меры, которые гарантируют, что высокий риск
для прав и свобод субъектов данных,
упомянутых в параграфе 1, больше не
способен получить вероятную реализацию;
(c) требуются несоразмерные усилия. В этом
случае, вместо этого делается сообщение для
всеобщего сведения либо предпринимается
аналогичная мера, посредством которой
субъекты данных информируются
равнодействующим способом.
12. 4.If the controller has not already
communicated the personal data breach to
the data subject, the supervisory authority,
having considered the likelihood of the
personal data breach resulting in a high risk,
may require it to do so or may decide that
any of the conditions referred to in
paragraph 3 are met.
4.Если контролёр еще не сообщил
субъекту данных об утечке персональных
данных, надзорный орган, рассмотрев
возможные последствия высокой степени
риска для прав и свобод физических лиц,
может потребовать сделать такое
сообщение, либо может решить, что
любое из условий, предусмотренных
параграфом 3, выполнены.
13. Уведомление надзорного органа Уведомление субъектов
Когда можно
НЕ уведомлять
• Если риск минимальный • Если риск НЕ большой
• Если приняты надлежащие
меры (например,
криптографическая защита)
• Если приняты адекватные
последующие меры
• Если требуются
несоразмерные усилия
Состав
уведомления
• Характер утечки (категории и
количество пострадавших
субъектов и записей)
• Реквизиты DPO
• Возможные последствия
• Принятые меры
• Реквизиты DPO
• Возможные последствия
• Принятые меры
Срок
уведомления
• Без неоправданной задержки
и, не позднее чем через
72 часа после выявления
• Без неоправданной
задержки
14. Что еще в GDPR?
• Ассоциации и иные организации, представляющие
категории контролёров или обработчиков, могут
разрабатывать кодексы поведения… в том числе, про
(i) уведомления надзорных органов об утечке
персональных данных и сообщение о таких утечках
персональных данных субъектам данных (Art.40.2)
• У надзорного органа есть право… (e) предписывать
контролёру сообщить субъекту данных об утечке
персональных данных (Art.58.2)
15. Возможен штраф до 10 000 000 Евро,
или применительно к хозяйствующему субъекту,
в размере до 2% от глобального годового
оборота (the total worldwide annual turnover)
хозяйствующего субъекта за весь предыдущий
финансовый год, в зависимости от того, какая
сумма больше…
20. Information Commissioner's Office (ICO) –
The UK’s independent authority set up to
uphold information rights in the public
interest, promoting openness by public bodies
and data privacy for individuals.
https://ico.org.uk/for-organisations/report-a-
breach/personal-data-breach
Рекомендации от ICO
21. Форма уведомления ICO1
Веб-форма - https://ico.org.uk/media/for-organisations/documents/2258298/personal-data-breach-report-form-web-dpa-2018.doc
23. Определите свой надзорный орган
“Remember, in the case of a breach affecting individuals in different EU
countries, the ICO may not be the lead supervisory authority. This means
that as part of your breach response plan, you should establish which
European data protection agency would be your lead supervisory
authority for the processing activities that have been subject to the
breach.”
The Article 29 Working Party (“who your lead authority is?”):
• "Guidelines for identifying a controller or processor’s lead supervisory
authority" (WP 244 rev.01) -
https://iapp.org/media/pdf/resource_center/WP29-2017-04-lead-
authority-guidance.pdf
• FAQ -
http://ec.europa.eu/information_society/newsroom/image/document
/2016-51/wp244_annexii_en_40858.pdf
24. Austria
Belgium
Bulgaria
Croatia
Cyprus
Czech Rebublic
Denmark
Estonia
European Union
Finland
France
Germany
Greece
Hungary
Iceland
Ireland
Italy
Latvia
Liechtenstein
Lithuania
Luxembourg
Malta
Netherlands
Norway
Poland
Portugal
Romania
Slovakia
Slovenia
Spain
Sweden
Switzerland
United Kingdom
Datenschutzbehörde – Republik Österreich
Commission de la Protection de la Vie Privee (CPVP)
Commission for Personal Data Protection (CPDP)
Agencija za zaštitu osobnih podataka (AZOP)
Commissioner for Personal Data Protection
Office for Personal Data Protection
Datatilsynet
Estonian Data Protection Inspectorate (AKI)
European Data Protection Supervisor
Office of the Data Protection Ombudsman
Commission nationale de l’informatique et des libertés (CNIL)
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)
Hellenic Data Protection Authority (DPA)
Hungarian National Authority for Data Protection and Freedom of Information (NAIH)
Icelandic Data Protection Authority
Irish Data Protection Commissioner
Garante per la Protezione dei Dati Personali
Data State Inspectorate of Latvia (DVI)
Datenschutzstelle (DSS) Liechtenstein
State Data Protection Lithuania
Commission Nationale pour la Protection des Donees (CNPD)
Office of the Information and Data Protection Commissioner (IDPC)
Autoriteit Persoonsgegevens
Datatilsynet Norway
Bureau of the Inspector General for the Protection of Personal Data (GIODO)
Comissio National de Proteccao de Dados (CNPD)
National Supervisory Authority for Personal Data Processing
Office for Personal Data Protection of the Slovak Republic
Information Commissioner Slovenia
Agencia Espanola de Proteccion de Dattos (AEPD)
Swedish Data Protection Authority
Federal Data Protection and Information Commissioner (FDPIC)
Information Commissioner’s Office (ICO)
25. Полезные ссылки
• The Article 29 Working Party: «Guidelines on Personal data breach notification under
Regulation 2016/679» (wp250rev.01)
https://iapp.org/media/pdf/resource_center/WP29-Breach-notification_02-2018.pdf
• Guide to the GDPR (глава «Personal data breaches»)
https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr
• Notification of data security breaches to the Information Commissioner’s Office (ICO)
https://ico.org.uk/media/for-organisations/documents/1536/breach_reporting.pdf
• Страница «Report a breach» от ICO
https://ico.org.uk/for-organisations/report-a-breach