4 января Европейский Совет по защите данных (European Data Protection Board, EDPB) опубликовал руководство, в котором на конкретных примерах разъяснил нормы GDPR об уведомлении надзорного органов и субъектов при утечках и иных нарушениях безопасности данных.
До вступления GDPR в силу рабочая группа ст. 29 (предшественница EDPB) выпустила мнение об уведомлении при нарушении безопасности персональных данных (2014 г.), а также руководство по уведомлению о факте утечки персональных данных (2018 г).
Новое руководство призвано не заменить, но дополнить действующие разъяснения и подкрепить их опытом из сложившейся практики.
Новое руководство содержит описания 18 кейсов нарушения безопасности персональных данных, среди которых 4 кейса посвящены программе-вымогателю, 4 – утечкам, 2 – человеческому фактору, 3 – потерянным устройствам или документам, 4 – ошибкам при отправке сообщения, 1 – краже личности.
Общие требования GDPR налагают на контролера обязанности задокументировать любые нарушения в отношении данных, включая факты, касающиеся утечек персональных данных, их последствий для субъектов и принятых мер по исправлению положения, а также уведомить о нарушении данных субъектов надзорный орган и сообщить субъекту о нарушении безопасности персональных данных, если нарушение может привести к высокому риску для прав и свобод физических лиц.
Ценность разъяснений в подробном описании организационно-технических мер превенции и реакции по уменьшению последствий в ответ на случаи утечек персональных данных. Например, против нарушения безопасности из-за программ-вымогателей рекомендуется среди прочего своевременно создавать резервные копии, при условии, что носители для среднесрочного и долгосрочного резервного копирования хранятся отдельно от хранилища рабочих данных и вне досягаемости третьих лиц даже в случае посягательства с использованием вредоносного ПО, направление сетевого трафика через брандмауэр и т.д.
В отношении профилактики внешних атак Европейский регулятор рекомендует использовать двухфакторную аутентификацию и серверы аутентификации, дополненные актуальной политикой паролей, политикой управления доступом, использованием современных, эффективных и интегрированных межсетевых экранов, систем обнаружения вторжений и других систем защиты.
Для предупреждения потери устройств, содержащих персональные данные, EDPB в числе прочего предлагает шифровать данные (например, Bitlocker, Veracrypt или DM-Crypt), защищать все устройства паролями и многофакторной аутентификацией, по возможности хранить персональных данных не на мобильном устройстве, а на центральном внутреннем сервере и т.д.
В настоящее время это становится одним из важнейших аспектов деятельности. .
Несоблюдение требований GDPR по обеспечению безопасности персональных данных, повлекшие утечки информации о субъектах, влекут серьезные штрафы для компаний, которые в свою очередь несут финансовые и репутационные потери.