როგორ მოვიქცეთ მონაცემთა დარღვევის შემთხვევაში?

უპირველეს ყოვლისა, არ ინერვიულოთ და ყოველთვის დარწმუნდით, რომ თქვენი პირსახოცი თან გქონდეთ.

საბოლოოდ მოხდა. თქვენს სისტემაში იყო ხარვეზი და ვიღაცამ ისარგებლა ამით, რათა განახორციელოს ის, რაც, ჟარგონულად, ა მონაცემები დარღვევით. პირადი მონაცემების დარღვევა. არ ინერვიულოთ, ეს არ არის უჩვეულო მოვლენა. ყველაზე იღბლიანი ამ მოვლენას წელიწადში ერთხელ მაინც ხვდება, მაგრამ სამყაროში, რომელიც ვითარდება ისევე სწრაფად, როგორც ინტერნეტი, შეიძლება მოხდეს, რომ ეს მოვლენა ბევრად უფრო ხშირი გახდეს. მიუხედავად იმისა, რომ თქვენ ცდილობთ არ ჩავარდეთ პანიკაში, ჩვენ მოგიწოდებთ დაიცვან ძირითადი წესი: დარღვევის დასაძლევად, თქვენ უნდა დაიცავით ევროპული რეგულაციის 16/679 მითითებები (GDPR), რომელიც გვთავაზობს მითითებებს, თუ რა უნდა გააკეთოს, თუ მოხდება მონაცემთა დარღვევა.

რა არის მონაცემთა დარღვევა?

პერსონალური მონაცემების დარღვევაა 6 ტიპი და თითოეული მათგანი შეიძლება იყოს ნებაყოფლობითი ან შემთხვევითი იმის მიხედვით, თუ რატომ მოხდა ეს:

• არაავტორიზებული წვდომა. ვიღაცას არ შეეძლო წვდომა გარკვეულ ინფორმაციაზე, მაგრამ მაინც ჰქონდა. იმ შემთხვევაში, თუ ეს შეცდომა იყო, თქვენ შეიძლება გაუგზავნოთ მნიშვნელოვანი დოკუმენტი ერთ ადამიანს მეორეს ნაცვლად. ეს იყო უბედური შემთხვევა, მაგრამ ეს მაინც მონაცემთა დარღვევაა. თუმცა, იმ შემთხვევაში, თუ თქვენ გაქვთ არაავტორიზებული წვდომა ვინმეს მონაცემებზე, ეს მოვლენა შეიძლება გახდეს ჯაშუშობაში.
• არაავტორიზებული ასლი. ვიღაცამ რაღაც მონაცემები აიღო, რომელიც მათ არ ეკუთვნოდა და თვითონ დააკოპირა. ეს შეიძლება იყოს უბედური შემთხვევა, თუ თანამშრომელმა გადაწყვიტა დაბეჭდოს დოკუმენტი, რომელიც არ უნდა ჰქონდეს სამუშაო დოკუმენტის უკეთ შედგენის მიზნით. ნაკლებად მკაფიო მიზნებისთვის ნებაყოფლობითი კოპირების შემთხვევაში, ეს შეიძლება იყოს ქურდობა.
• მოულოდნელი გამჟღავნება. ვიღაცამ შემთხვევით გაჟონა მონაცემები, რომლებიც არ უნდა იყოს ონლაინ რაიმე მიზეზით. მაგალითად, კომპანიის ფეისბუქის პროფილზე ქვეყნდება მნიშვნელოვანი მომხმარებლის ფოტო. თაღლითობის შემთხვევაში ამ ოპერაციას ე.წ დიფუზია.
• არასანქცირებული მოდიფიკაცია. ვიღაცამ შეცვალა გარკვეული მონაცემები, მიუხედავად იმისა, რომ მათ ეს არ შეეძლოთ. თუ ეს შეცდომით მოხდა, ეს არის ის. წინააღმდეგ შემთხვევაში შეიძლება იყოს მანომისიონი ჰაკერის ან თავდამსხმელის მიერ.
• წვდომის დაკარგვა. ვიღაც კარგავს ინფორმაციას და ის აღარ არის ხელმისაწვდომი. კომპიუტერის პაროლის დავიწყება დარღვევაა, იცოდით ეს? და თუ ეს გაკეთდა განზრახ, ხდება დაშიფვრა.
• მონაცემთა წაშლა. ვიღაც შლის სენსიტიურ მონაცემებს. თუ ეს შეცდომით მოხდა, ეს დარღვევაა. მაგრამ იმ შემთხვევაში, თუ გაუქმება ნებაყოფლობითია, ის იწვევს მონაცემთა განადგურება.

პირადი მონაცემების დარღვევა: როგორ მოვიქცეთ?

გთხოვთ, იხილოთ GDPR-ის 33-ე და 34-ე მუხლები. ეს ორი მუხლი ეხება ევროპულ რეგულაციას, რომელიც მიზნად ისახავს მიუთითოს პროცედურები, რომლებიც უნდა იქნას დაცული მონაცემთა დარღვევის შემთხვევაში. 33-ე მუხლი ეხება კომპანიის შიდა მენეჯმენტს და გარანტორთან ურთიერთობას, ხოლო 34-ე მუხლი ეხება მენეჯმენტს დაინტერესებულ მხარეებთან ან იმ ადამიანებთან, რომელთა პერსონალური მონაცემებიც ჩვენ გვაქვს.

აუცილებელია ამის დაზუსტება მონაცემთა დარღვევა ყოველთვის უნდა იყოს დაფიქსირებული e, შემთხვევაში ეცნობება გარანტის როგორც 33-ე მუხლშია ნათქვამი. ეს ასევე ამბობს, რომ დარღვევის შემთხვევაში, მონაცემთა დამმუშავებელმა უნდა აცნობოს ზედამხედველობის ორგანოებს ამის შესახებ 72 საათის განმავლობაში, განსაკუთრებით თუ ეს საფრთხეს უქმნის ფიზიკური პირების უფლებებსა და თავისუფლებებს. მონაცემთა დამმუშავებლებმა (ხელფასის ფირმა, ბუღალტერი, სისტემის ანალიტიკოსები...) უნდა აცნობონ მონაცემთა კონტროლერს.

თუ გადაწყვეტთ გარანტს აცნობოთ, მას სჭირდება ინფორმაცია: დარღვევის ბუნება, ჩართული ადამიანების რაოდენობა, მონაცემთა დაცვის ოფიცრის კონტრაქტის მონაცემები, დარღვევის შესაძლო შედეგები და მიღებული ან გასატარებელი ზომები.

თუმცა, კომპანიას აქვს ვალდებულება აცნობეთ ყველაფერს, რაც ხდება, განურჩევლად იმისა, არის თუ არა დარღვევები უნებლიე თუ განზრახ, და აიღოს პასუხისმგებლობა (ანგარიშვალდებულება).

პასუხისმგებლობა?

Კომპანია უნდა იყოს პასუხისმგებელი, კომპეტენტური და იცოდეს რა ხდება მის გარემოსა და სისტემებში. კომპანიამ უნდა აჩვენოს თავისი უნარი პრობლემის პროაქტიულად გადაჭრაში და აჩვენოს, რომ აქვს ინსტრუმენტები მონაცემთა დარღვევის შედეგების შესაჩერებლად. ეს კეთდება მტკიცებულებებისა და მონაცემების მიწოდებით - და შემოგთავაზებთ გარანტის, რომ შესთავაზოთ დარწმუნებული, რომ რაც მოხდა აღარასოდეს განმეორდება. „ანგარიშვალდებულების“ არარსებობის შემთხვევაში დგება ჯარიმა.

რა დარღვევები უნდა ეცნობოს გარანტის?

გარანტის ეცნობება მხოლოდ ნებაყოფლობითი და არა შემთხვევითი დარღვევები. მონაცემთა კონტროლერმა უნდა გადაწყვიტოს, ანგარიშვალდებულების ლოგიკით უნდა აცნობოს თუ არა, თუ მონაცემთა დარღვევამ შეიძლება ზიანი მიაყენოს პირთა უფლებებსა და თავისუფლებებს. L'ENISA (ევროკავშირის კიბერუსაფრთხოების სააგენტომ) შექმნა ა რისკის გამოთვლის მეთოდოლოგია პირთა თავისუფლებაზე დარღვევის დროს. ამ მეთოდოლოგიის გამოყენება შესაძლებელია კომპანიაშიც.

როგორ იცით, იყო თუ არა დარღვევა?

დარღვევა უნდა გვესმოდეს, რომ ნამდვილად გამოვლინდეს. ეს შესაძლებელია, თუ კომპანიაში არის ადეკვატური ტრენინგი რისკის შესაფასებლად და ნებისმიერი ზიანის გასაგებად. მოკლედ, თქვენ არ გჭირდებათ ინჟინერი, რომელიც ორი თვის განმავლობაში შემოდის შემთხვევის ადგილზე, რათა შეაფასოს დაკარგული ფლეშ დრაივის შესაძლო ზიანი: გჭირდებათ ტრენინგის კურსი, რომელიც დაეხმარება ხელმისაწვდომ პერსონალს გააცნობიეროს ზიანის ზომა დამატების გარეშე. ხარჯების ისედაც მნიშვნელოვანი მართვა. მარტივად რომ ვთქვათ, პერსონალმა უნდა გაიაროს ტრენინგი, თუ რას გულისხმობს დარღვევა და მონაცემთა სუბიექტებისთვის პროცედურის დროული კომუნიკაცია.

34-ე მუხლი გვეუბნება, რომ მონაცემთა მაკონტროლებელი შეიძლება არ აცნობოს დარღვევას მონაცემთა სუბიექტს როდესაც:

• გატარებულია ადეკვატური ტექნიკური და ორგანიზაციული ღონისძიებები, მაგრამ გარანტიის შეტყობინებით და ანგარიშვალდებულების დადასტურებით.
• მან მიიღო ზომები მონაცემთა დარღვევის მაღალი რისკის თავიდან ასაცილებლად.
• გამჟღავნება შეიძლება გამოტოვდეს, თუ ის მოითხოვს არაპროპორციულ ძალისხმევას - ამ შემთხვევაში, ის საჯაროდ უნდა გამოცხადდეს!

ხდება მონაცემთა დარღვევა. მაგრამ როგორ ფიქრობთ, შეგიძლიათ გაუმკლავდეთ მას?