Как подготовиться к утечке персональных данных: опыт МАУ

7 октября в Киеве проходит экспертный GDPR Summit 2021

На конференции GDPR Summit 2021, которая проходит 7 октября в Киеве, выступил Data Protection Officer компании МАУ (Международные Авиалинии Украины) Станислав Коваленко. Он рассказал о том, как компаниям следует готовиться к утечке персональных данных, поскольку, уверен эксперт, рано или поздно любая компания, независимо от размера и репутации, может стать жертвой взлома.

1. Прежде всего, необходимо подготовить и имплементировать процедуры обнаружения и расследования утечки персональных данных (нарушение данных), а также убедиться в том, что они отвечают требованиям регламента.

2. В соответствии со ст.33 GDPR, в случае утечки персональных данных и при высоких рисках для субъектов данных, компания должна оповестить соответствующий контролирующий орган о факте утечки без неоправданной задержки. А в случае задержки оповещения продолжительностью более 72 часов после обнаружения утечки требуется прилагать письменное объяснение причин такой задержки.

3. Информация о нарушении данных, которая передается в соответствующий контролирующий орган, должна содержать:

• описание факта утечки, включая количество субъектов и категории персональных данных;
• имя и контрактные детали DPO (иного ответственного лица);
• вероятные последствия такой утечки персональных данных;
• меры, предпринятые компанией, организацией для устранения утечки персональных данных и уменьшения негативных последствий такой утечки.

По словам Станислава Коваленко, МАУ пока не сталкивалась с утечкой данных, хотя одна возникшая ситуация требовала тщательной проверки триггеров, которые бы точно указывали на взлом. После соответствующей проверки оказалось, что преступники не получили доступ к базе данных клиентов МАУ.

Также представитель авиакомпании отметил важность начначения в компаниях лица, ответственного за обработку и защиту данных (Data Protection Officer).

«Все компании, независимо от типа или размера, которые обрабатывают персональные данные и на которые распространяется требования GDPR, должны иметь кого-то, кому будет поручено следить за соблюдением Регламента (часть «организационных мер», ст. 25)».

Также эксперт рекомендует разработать отдельную программу обучения сотрудников по защите ПД и по действиям в случае обнаружения или подозрения утечки ПД. Обучение не должно быть разовой акцией, т.к. в компании постоянно меняются бизнес-процессы, появляются новые практики и разъяснения в отношении норм законодательства по защите ПД.

«Всегда помните о принципе минимизации (Data minimisation) — собирать и хранить следует только минимальное количество персональных данных, достаточных для указанной цели», — добавил DPO компании МАУ.

ЧИТАЙТЕ ТАКЖЕ: 95% кибервзломов вызваны человеческой ошибкой — RadarID