Loading…
يبدأ اختراق البيانات الشخصية ساعةً تنظيمية لا تتوقف لأجل عطلات نهاية الأسبوع أو الأعياد أو توافر المسؤولين التنفيذيين. وبموجب المادة 33 من GDPR لديك 72 ساعة من لحظة العلم لإخطار السلطة الإشرافية. وتحدد القاعدة 7 من DPDPA، والمادة 26B من PDPA، والقرار 15/2024 من LGPD نوافذ زمنية مماثلة.
يقسّم هذا الدليل التشغيلي الـ72 ساعة إلى خمس مراحل مسماة — الاكتشاف، الاحتواء، التقييم، التوثيق، التقديم — مع مخرجات ملموسة عند كل بوابة. استخدمه كدليل تشغيلي: عندما يكون هناك أمر مشتعل لا تريد أن تكون منشغلًا بكتابة العملية. بل تريد تنفيذها.
تنص المادة 33 على "في موعد لا يتجاوز 72 ساعة بعد العلم به." العلم هو عندما يكون لدى المتحكم درجة معقولة من اليقين بأن حادثًا أمنيًا قد وقع وأن بيانات شخصية معنية به. وهو ليس:
تسمح إرشادات EDPB رقم 9/2022 بشأن الإخطار باختراق البيانات الشخصية بفترة تحقيق قصيرة للوصول إلى العلم، لكن ينبغي أن تكون تلك الفترة وجيزة — مسألة ساعات لا أيام.
الهدف: تأكيد وقوع حادث، والحفاظ على الأدلة الجنائية الرقمية، وتفعيل فريق الاستجابة.
المُخرَج عند T+6h: ملخص حادث من صفحة واحدة — ماذا حدث، ومتى، وأي أنظمة، وأي فئات بيانات قد تكون مشمولة، وما هو المجهول المعروف.
الهدف: وقف النزيف، وعزل الأنظمة المتأثرة، وإخطار الأطراف الخارجية ذات الحساسية الزمنية.
المُخرَج عند T+24h: تأكيد الاحتواء؛ بيان نطاق أولي.
الهدف: تحديد حجم الضرر المحتمل ومداه — فهذا يحرّك كل قرار لاحق.
المُخرَج عند T+48h: تقييم خطر الضرر؛ ومصفوفة قرار الإخطار؛ ونموذج إخطار مبدئي مُعبَّأ.
الهدف: بناء الوثيقة التي ستقدّمها، وإغلاق السجل الداخلي، وإحاطة أصحاب المصلحة.
المُخرَج عند T+72h: إخطار جاهز للتقديم؛ وسجل داخلي مكتمل.
الهدف: إخطار الجهات التنظيمية ضمن النافذة القانونية والتواصل مع أصحاب البيانات حيثما كان مطلوبًا.
المُخرَج عند T+72h+: إقرار باستلام التقديم؛ وإرسال التواصلات مع أصحاب البيانات (أو قرار موثّق بعدم التواصل)؛ وجدولة مراجعة لاحقة للحادث خلال 14 يومًا.
| الجهة التنظيمية | النافذة القانونية | العتبة |
|---|---|---|
| السلطة الإشرافية في الاتحاد الأوروبي (GDPR) | 72 ساعة من العلم (المادة 33) | ما لم يكن من غير المرجّح أن يؤدي إلى خطر على الحقوق والحريات |
| ICO (UK GDPR) | 72 ساعة من العلم | العتبة نفسها المستندة إلى الخطر |
| CPPA / المدّعي العام لكاليفورنيا (CCPA) | "في أسرع وقت ممكن" (Cal. Civ. Code §1798.82) | التأثير على أكثر من 500 من سكان كاليفورنيا يُلزم بإخطار المدّعي العام |
| مجلس حماية البيانات في الهند (DPDPA) | دون تأخير؛ التفاصيل في القاعدة 7 | جميع انتهاكات البيانات الشخصية |
| CERT-In (توجيهات قانون تكنولوجيا المعلومات الهندي 2022) | 6 ساعات من الملاحظة | فئات الحوادث المعيّنة (برامج الفدية، وهجمات DDOS، وتشويه الواجهات، وغيرها) |
| PDPC (PDPA سنغافورة) | 72 ساعة بعد أن يؤكد التقييم وجود انتهاك واجب الإخطار | ضرر جسيم أو 500 فرد فأكثر |
| ANPD (LGPD البرازيل) | 3 أيام عمل من التأكيد (القرار 15/2024) | خطر أو ضرر ذو صلة بأصحاب البيانات |
| PPC (APPI اليابان) | دون تأخير (عادةً أيام، لا أسابيع) | تسريب بيانات حساسة، أو خسارة مالية، أو نية خبيثة، أو 1,000 سجل فأكثر |
أكثر إخفاقات المؤسسات شيوعًا هو عدم وضوح المسؤولية بين DPO والمستشار العام بشأن التقديم الفعلي للإخطار إلى الجهة التنظيمية. احسم هذا مسبقًا — تعتمد معظم الفرق على صياغة DPO تحت امتياز المستشار القانوني، مع كون DPO جهة الاتصال المسمّاة في التقديم نفسه.
تُلزم المادة 34 من GDPR بالتواصل مع أصحاب البيانات عند وجود خطر مرتفع على الحقوق والحريات. والمعيار أعلى من عتبة الإخطار إلى السلطة الإشرافية. أمثلة تستوجب الإخطار:
تورد المادة 34(3) ثلاثة استثناءات من التواصل المباشر: التشفير الذي يجعل البيانات غير مفهومة للأشخاص غير المصرّح لهم، أو التدابير التي تزيل الخطر المرتفع، أو الجهد غير المتناسب الذي يمكن استبداله بالتواصل العام.
محتوى الإخطار (المادة 34(2)): طبيعة الانتهاك، واسم وجهة اتصال DPO، والعواقب المحتملة، والتدابير المتّخذة. بلغة بسيطة.
لا. المادة 33 محسوبة بالساعات، لا بأيام العمل. تعرّف بعض الجهات التنظيمية (LGPD، وPDPA سنغافورة) النوافذ بأيام العمل؛ تحقّق من النظام المحدّد.
تجيز المادة 33(1) الإخطار المتأخر "مصحوبًا بأسباب التأخير." تقبل السلطات الإشرافية ذلك لكنها تدقّق فيه. والتأخيرات المتكررة سبب لتفعيل الإنفاذ.
تتطلب المادة 33(2) أن يُخطر المعالِج المراقِب "دون تأخير لا مبرر له." ومن المرجّح أن تحدّد اتفاقية معالجة البيانات (DPA) لديك نافذة أضيق (غالبًا 24–48 ساعة). والإخطار إلى السلطة الإشرافية التزام يقع على المراقِب، لكن على المعالِج أن يمنحه معلومات ووقتًا كافيين للوفاء بالموعد النهائي البالغ 72 ساعة.
لأي شيء جوهري، نعم. يرسّخ المستشار الخارجي الامتياز القانوني على نواتج عمل التحقيق ويقلّل بشكل كبير من التعرّض للإفصاح في أي تقاضٍ لاحق. تأمين رخيص.
تمرين نظري فصلي بسيناريو واقعي قائم على المحفّزات، مضغوط زمنيًا إلى 90 دقيقة تحاكي نافذة الـ72 ساعة. ارصد تأخّر اتخاذ القرار عند كل انتقال للمراحل. استخدم مجموعة محتوى المادة 33(3) نفسها التي كنت ستقدّمها فعليًا.
تدير RegulatoryBridge الاستجابة للانتهاكات على مدار الساعة طوال أيام الأسبوع — قائد حوادث، وتقديم إلى الجهة التنظيمية، وتواصل مع أصحاب البيانات — تحت الامتياز القانوني. فعّلها خلال دقائق.