7 октября в Киеве проходит экспертный GDPR Summit 2021
На конференции GDPR Summit 2021, которая проходит 7 октября в Киеве, выступил Data Protection Officer компании МАУ (Международные Авиалинии Украины) Станислав Коваленко. Он рассказал о том, как компаниям следует готовиться к утечке персональных данных, поскольку, уверен эксперт, рано или поздно любая компания, независимо от размера и репутации, может стать жертвой взлома.
1. Прежде всего, необходимо подготовить и имплементировать процедуры обнаружения и расследования утечки персональных данных (нарушение данных), а также убедиться в том, что они отвечают требованиям регламента.
2. В соответствии со ст.33 GDPR, в случае утечки персональных данных и при высоких рисках для субъектов данных, компания должна оповестить соответствующий контролирующий орган о факте утечки без неоправданной задержки. А в случае задержки оповещения продолжительностью более 72 часов после обнаружения утечки требуется прилагать письменное объяснение причин такой задержки.
3. Информация о нарушении данных, которая передается в соответствующий контролирующий орган, должна содержать:
- описание факта утечки, включая количество субъектов и категории персональных данных;
- имя и контрактные детали DPO (иного ответственного лица);
- вероятные последствия такой утечки персональных данных;
- меры, предпринятые компанией, организацией для устранения утечки персональных данных и уменьшения негативных последствий такой утечки.
По словам Станислава Коваленко, МАУ пока не сталкивалась с утечкой данных, хотя одна возникшая ситуация требовала тщательной проверки триггеров, которые бы точно указывали на взлом. После соответствующей проверки оказалось, что преступники не получили доступ к базе данных клиентов МАУ.
Также представитель авиакомпании отметил важность начначения в компаниях лица, ответственного за обработку и защиту данных (Data Protection Officer).
«Все компании, независимо от типа или размера, которые обрабатывают персональные данные и на которые распространяется требования GDPR, должны иметь кого-то, кому будет поручено следить за соблюдением Регламента (часть «организационных мер», ст. 25)».
Также эксперт рекомендует разработать отдельную программу обучения сотрудников по защите ПД и по действиям в случае обнаружения или подозрения утечки ПД. Обучение не должно быть разовой акцией, т.к. в компании постоянно меняются бизнес-процессы, появляются новые практики и разъяснения в отношении норм законодательства по защите ПД.
«Всегда помните о принципе минимизации (Data minimisation) — собирать и хранить следует только минимальное количество персональных данных, достаточных для указанной цели», — добавил DPO компании МАУ.
ЧИТАЙТЕ ТАКЖЕ: 95% кибервзломов вызваны человеческой ошибкой — RadarID