Loading…
Нарушение защиты персональных данных запускает нормативный отсчет, который не останавливается на выходных, праздниках или по причине недоступности руководства. В соответствии со Статьей 33 GDPR у вас есть 72 часа с момента осведомленности для уведомления надзорного органа. Правило 7 DPDPA, Раздел 26B PDPA и Резолюция 15/2024 LGPD устанавливают аналогичные сроки.
Этот сценарий разбивает 72 часа на пять именованных фаз — Обнаружение, Локализация, Оценка, Документирование, Подача — с конкретными результатами на каждом этапе. Используйте его как план действий: когда что-то горит, вы не хотите писать процесс. Вы хотите его выполнять.
Статья 33 гласит: «не позднее чем через 72 часа после того, как ему стало об этом известно». Осведомленность наступает, когда контролер имеет разумную степень уверенности в том, что произошел инцидент безопасности и что затронуты персональные данные. Это не:
Руководящие принципы EDPB 9/2022 по уведомлению о нарушениях защиты персональных данных допускают короткий период расследования для достижения осведомленности, но этот период должен быть кратким — вопрос часов, а не дней.
Цель: Подтвердить, что произошел инцидент, сохранить криминалистические доказательства, активировать группу реагирования.
Результат к T+6ч: Одностраничное резюме инцидента — что произошло, когда, какие системы, какие категории данных могут быть затронуты, какие известны неизвестные.
Цель: Остановить утечку, изолировать затронутые системы и уведомить внешние стороны, чувствительные ко времени.
Результат к T+24ч: Подтверждение локализации; предварительное заявление об области охвата.
Цель: Определить масштаб и вероятный вред — это определяет каждое последующее решение.
Результат к T+48ч: Оценка риска вреда; матрица решений об уведомлении; заполненный черновой шаблон уведомления.
Цель: Создать артефакт для подачи, зафиксировать внутреннюю запись, проинформировать заинтересованные стороны.
Результат к T+72ч: Уведомление, готовое к подаче; полная внутренняя запись.
Цель: Уведомить регуляторов в установленный законом срок и проинформировать субъектов данных, где это требуется.
Результат к T+72ч+: Подтверждение подачи; коммуникации субъектам данных отправлены (или задокументированное решение не уведомлять); пост-инцидентный обзор запланирован в течение 14 дней.
| Регулятор | Установленный законом срок | Порог |
|---|---|---|
| Надзорный орган ЕС (GDPR) | 72 часа с момента осведомленности (ст. 33) | Если только это вряд ли приведет к риску для прав и свобод |
| ICO (UK GDPR) | 72 часа с момента осведомленности | Тот же порог на основе риска |
| CPPA / Генеральный прокурор Калифорнии (CCPA) | «В кратчайшие возможные сроки» (Cal. Civ. Code §1798.82) | Затрагивание более 500 жителей Калифорнии запускает уведомление генерального прокурора |
| Совет по защите данных Индии (DPDPA) | Без промедления; детали в Правиле 7 | Все нарушения защиты персональных данных |
| CERT-In (Директивы IT Act Индии 2022 года) | 6 часов с момента обнаружения | Определенные категории инцидентов (программы-вымогатели, DDOS, дефейс и т. д.) |
| PDPC (PDPA Сингапура) | 72 часа после того, как оценка подтвердит подлежащее уведомлению нарушение | Значительный вред ИЛИ 500+ лиц |
| ANPD (LGPD Бразилии) | 3 рабочих дня с момента подтверждения (Res. 15/2024) | Риск или значительный ущерб для субъектов данных |
| PPC (APPI Японии) | Без промедления (обычно дни, а не недели) | Утечка чувствительных данных, финансовые потери, злонамеренный умысел или 1000+ записей |
Самая распространенная организационная неудача — нечеткое распределение ответственности между DPO и генеральным юрисконсультом за фактическую подачу регулятору. Урегулируйте это заранее — большинство команд по умолчанию поручают DPO составление под привилегией юрисконсульта, при этом DPO выступает в качестве указанного контакта в самой подаче.
Статья 34 GDPR запускает коммуникацию с субъектом данных, когда существует высокий риск для прав и свобод. Стандарт выше, чем порог уведомления надзорного органа. Примеры, требующие уведомления:
Статья 34(3) перечисляет три исключения для прямой коммуникации: шифрование, делающее данные нечитаемыми для неуполномоченных лиц, меры, устраняющие высокий риск, или несоразмерные усилия, которые могут быть заменены публичной коммуникацией.
Содержание уведомления (Статья 34(2)): характер нарушения, имя и контактные данные DPO, вероятные последствия, принятые меры. Простым языком.
Нет. Статья 33 устанавливает срок в часах, а не в рабочих днях. Некоторые регуляторы (LGPD, сингапурский PDPA) определяют сроки в рабочих днях; уточняйте конкретный режим.
Статья 33(1) допускает более позднее уведомление «с указанием причин задержки». Надзорные органы это принимают, но тщательно проверяют. Повторяющиеся задержки служат триггером для правоприменения.
Статья 33(2) требует, чтобы обработчик уведомил контролёра «без неоправданной задержки». В вашем соглашении об обработке данных (DPA), вероятно, указан более жёсткий срок (часто 24–48 часов). Уведомление надзорного органа является обязанностью контролёра, однако обработчик должен предоставить ему достаточно информации и времени, чтобы уложиться в 72-часовой срок.
Для всего существенного — да. Внешние юристы обеспечивают адвокатскую тайну в отношении результатов расследования и значительно снижают риски раскрытия информации в ходе последующих судебных разбирательств. Недорогая страховка.
Ежеквартальные штабные учения с реалистичным сценарием на основе вводных, сжатые по времени до 90 минут, имитирующих 72-часовой период. Фиксируйте задержки в принятии решений на каждом этапе перехода. Используйте тот же набор данных согласно Статье 33(3), который вы подавали бы в реальной ситуации.
RegulatoryBridge обеспечивает круглосуточное реагирование на нарушения — командир по инцидентам, подача документов регулятору, коммуникация с субъектами данных — в режиме адвокатской тайны. Активация в течение нескольких минут.