در صورت نقض اطلاعات چگونه رفتار کنیم؟

Innanzitutto, niente panico e assicurarsi sempre di avere dietro il proprio asciugamano.

بالاخره اتفاق افتاد. نقصی در سیستم شما وجود داشت و شخصی از آن برای اجرای چیزی استفاده کرد که در اصطلاح اصطلاحی، a نامیده می شود نقض داده ها. نقض اطلاعات شخصی نگران نباشید، این یک پدیده غیرعادی نیست. خوش شانس ترین ها کمتر از یک بار در سال به این احتمال برخورد می کنند، اما در دنیایی که به سرعت اینترنت تکامل می یابد، ممکن است این اتفاق بسیار بیشتر شود. در حالی که سعی می کنید وحشت نکنید، ما شما را تشویق می کنیم که به قانون سرانگشتی پایبند باشید: برای رسیدگی به تخلف، باید از نشانه های مقررات اروپایی 16/679 پیروی کنید (GDPR) که راهنمایی می کند که در صورت وقوع نقض داده چه باید کرد.

نقض داده چیست؟

نقض داده های شخصی از 6 نوع، و هر یک از اینها می تواند داوطلبانه یا تصادفی باشد بر اساس چرایی وقوع:

• دسترسی غیرمجاز. کسی نمی‌توانست به اطلاعات خاصی دسترسی داشته باشد، اما این کار را کرد. در صورتی که این یک اشتباه بوده است، ممکن است یک سند مهم را به جای شخص دیگری برای شخص دیگری ارسال کرده باشید. این یک تصادف بود، اما هنوز یک نقض اطلاعات است. با این حال، در صورتی که دسترسی غیرمجاز به داده‌های شخصی داشته باشید، این رویداد می‌تواند تبدیل شود جاسوسی.
• کپی غیر مجاز. شخصی اطلاعاتی را که متعلق به آنها نبود برداشت و برای خودش کپی کرد. اگر یک همکار تصمیم بگیرد سندی را که نباید داشته باشد چاپ کند تا بتواند یک سند کار را بهتر گردآوری کند، ممکن است تصادف باشد. در صورت کپی داوطلبانه برای اهداف کمتر واضح، می تواند باشد سرقت.
• افشای غیرمنتظره. شخصی به طور تصادفی اطلاعاتی را که به هر دلیلی نباید آنلاین باشد، درز می کند. به عنوان مثال، عکس یک مشتری مهم در پروفایل فیس بوک این شرکت منتشر می شود. در صورت تقلب به این عملیات گفته می شود گسترش.
• اصلاح غیر مجاز. شخصی برخی از داده ها را تغییر داد، حتی اگر نمی توانست این کار را انجام دهد. اگر به اشتباه اتفاق افتاده است، همین است. در غیر این صورت ممکن است دستکاری کردن توسط هکر یا مهاجم
• از دست دادن دسترسی. شخصی اطلاعات خود را از دست می دهد و دیگر در دسترس نیست. فراموش کردن رمز عبور کامپیوتر شما یک تخلف است، آیا می دانید؟ و در صورتی که از روی عمد انجام شده باشد، می شود رمزگذاری.
• حذف داده ها. شخصی داده های حساس را حذف می کند. اگر به اشتباه این اتفاق افتاده باشد، تخلف است. اما در صورتی که انصراف داوطلبانه باشد متحمل آن می شود تخریب داده ها.

نقض اطلاعات شخصی: چگونه رفتار کنیم؟

لطفاً به مواد 33 و 34 GDPR مراجعه کنید. این دو ماده به مقررات اروپایی اشاره دارد که به دنبال نشان دادن رویه هایی است که در صورت نقض داده ها باید دنبال شود. ماده 33 مربوط به مدیریت داخلی شرکت و روابط با ضامن است در حالی که ماده 34 مربوط به مدیریت با اشخاص ذینفع یا افرادی است که اطلاعات شخصی آنها را در اختیار داریم.

مشخص کردن آن ضروری است نقض داده ها باید همیشه ثبت شود e, درصورتی که به ضامن اطلاع داده شود همانطور که در ماده 33 آمده است. این نیز می گوید که در صورت تخلف، کنترل کننده داده ها باید ظرف 72 ساعت پس از اطلاع از آن به مقامات نظارتی اطلاع دهد، به خصوص اگر این امر خطری برای حقوق و آزادی های اشخاص حقیقی باشد. پردازشگرهای داده (شرکت حقوق و دستمزد، حسابدار، تحلیلگران سیستم...) باید به کنترل کننده داده اطلاع دهند.

اگر تصمیم دارید به ضامن اطلاع دهید، او به اطلاعاتی نیاز دارد: ماهیت تخلف، تعداد افراد درگیر، داده‌های قرارداد افسر حفاظت از داده‌ها، عواقب احتمالی نقض و هرگونه اقدام اتخاذ شده یا انجام‌شده.

با این حال، شرکت تعهد دارد هر اتفاقی که می افتد را با هم در میان بگذارید، صرف نظر از اینکه تخلفات غیرعمدی یا عمدی باشد و مسئولیت (پاسخگویی) را بر عهده بگیرند.

مسئولیت؟

شرکت باید مسئولیت پذیر، شایسته و آگاه از آنچه اتفاق می افتد باشد در محیط ها و سیستم های آن شرکت باید توانایی خود را برای حل و فصل مشکل به طور فعال نشان دهد و نشان دهد که ابزارهایی برای جلوگیری از عواقب نقض داده ها دارد. این کار با ارائه شواهد و داده‌ها انجام می‌شود - و با پیشنهاد دادن به ضامن اطمینان از اینکه آنچه اتفاق افتاده دیگر هرگز تکرار نخواهد شد. در صورت عدم پاسخگویی، جریمه در نظر گرفته می شود.

چه تخلفاتی باید به ضامن ابلاغ شود؟

فقط تخلفات داوطلبانه و نه تصادفی به ضامن ابلاغ می شود. کنترل کننده داده باید تصمیم بگیرد که در منطق پاسخگویی، در صورتی که نقض داده ها می تواند به حقوق و آزادی افراد آسیب وارد کند، اطلاع دهد یا خیر. L'ENISA (آژانس اتحادیه اروپا برای امنیت سایبری) ایجاد کرده است روش برای محاسبه ریسک در مورد آزادی افراد در مواجهه با نقض. این روش می تواند در شرکت نیز اعمال شود.

چگونه متوجه می شوید که تخلفی صورت گرفته است؟

نقض باید درک شود تا واقعاً شناسایی شود. این در صورتی امکان پذیر است که آموزش کافی در شرکت برای برآورد خطر و درک هر گونه آسیب وجود داشته باشد. به طور خلاصه، شما نیازی به مهندس ندارید که به مدت دو ماه وارد صحنه شود تا خسارات احتمالی فلش مموری گم شده را برآورد کند: شما به یک دوره آموزشی نیاز دارید که به پرسنل موجود کمک کند تا میزان آسیب را بدون اضافه کردن درک کنند. به هزینه های مدیریت در حال حاضر مهم است. به بیان ساده، کارکنان باید در مورد آنچه که نقض مستلزم آن است و در برقراری ارتباط به موقع این روش به موضوع داده ها آموزش ببینند.

ماده 34 به ما می گوید که کنترل کننده داده ها ممکن است نقض را به موضوع داده ها اعلام نکند چه زمانی:

• اقدامات فنی و سازمانی کافی انجام می شود، اما با اعلام ضامن و اثبات پاسخگویی.
• اقداماتی را برای جلوگیری از خطر بالای نقض داده ها اتخاذ کرده است.
• در صورت نیاز به تلاش نامتناسب، می‌توان افشا را حذف کرد - در این مورد، باید به طور عمومی اعلام شود!

نقض داده ها اتفاق می افتد. اما فکر می کنید چگونه می توانید آن را مدیریت کنید؟