Уведомление об утечке данных KVKK: правило 72 часов

Статья 12/5 KVKK налагает на контролера данных обязанность уведомить Совет по защите личных данных и затронутого владельца данных «как можно скорее» в случае утечки личных данных. Учреждение интерпретировало этот период как "72 часа" (решение Правления от 18.01.2019).

Что такое «нарушение»?

<ул>

Несанкционированный доступ (взлом, инсайдерская утечка).

Несанкционированная передача (электронное письмо не тому лицу, обмен файлами).

Несанкционированное изменение или удаление.

Незашифрованное устройство/потеря USB.

Атака программ-вымогателей.

Обязательство по уведомлению

<ул>

Уведомление учреждения: В течение 72 часов с помощью формы «Уведомление о утечке персональных данных».

Уведомление субъекта данных: «В течение разумного срока» — обычно 3–7 дней.

Уведомление должно быть написано ясным и понятным языком.

Необходимо указать категории затронутых данных и количество людей.

Необходимо сообщать о принятых и рекомендуемых мерах.

Последствия превышения срока

<ул>

Административный штраф (от 100 000 до 5 000 000 турецких лир, согласно действующему графику).

Решение об уничтожении (обязательство удалить/уничтожить).

Публикация в списке нарушений (репутационный ущерб).

Конкретные основания для исков о компенсации.

Содержимое формы уведомления

<ул>

Дата и время возникновения события.

Тип инцидента (кибератака, инсайдерская утечка и т. д.).

Затронутые категории данных (имя, телефон, финансовые данные, здоровье и т. д.).

Количество затронутых людей.

Возможные последствия.

Меры приняты и будут приняты.

Контактное лицо (DPO).

Уведомление владельцу данных — формат

<ул>

Можно доставить по SMS, электронной почте или отправкой.

Заголовок: «Уведомление об утечке персональных данных».

Краткое описание мероприятия (простым языком).

Меры, которые может предпринять владелец данных (смена пароля, предупреждение банка).

Точка контакта.

Решения совета директоров — устоявшийся подход

Совет по защите персональных данных инициирует обязанность уведомления с «момента подозрения»; Ждать «окончательного решения» недостаточно. Нарушение позднего уведомления обычно влечет за собой административные штрафы; Сумма определяется в зависимости от масштаба нарушения.

Превентивные меры

<быть>

Сопоставление данных и регистрация VERBIS обновлены.

Контроль доступа и политика паролей.

Регулярные тесты на проникновение.

План управления инцидентами (План реагирования на инциденты).

Назначение DPO (сотрудника по защите данных).

Обучение сотрудников (предупреждение о фишинге).

Процесс после взлома

<быть>

Обнаружение инцидента (подозрение).

Оценка внутренней командой + DPO.

Уведомление учреждения в течение 72 часов.

Уведомление субъекта данных.

Судебный процесс (статьи 135–136 НК).

Подготовка к делам о компенсации.

Управление утечкой данных осуществляется в сжатые сроки. Этот процесс необходимо спланировать вместе с юристом KVKK и IT-юристом.