What is the GDPR 72-hour breach notification rule?

Under GDPR Article 33, organizations must notify their supervisory authority within 72 hours of becoming aware of a personal data breach, unless the breach is unlikely to result in a risk to individuals. The notification must include the nature of the breach, approximate number of affected individuals, likely consequences, and measures taken. British Airways was fined GBP 20M partly for delayed and inadequate breach response.

When does a data breach require notifying individuals under GDPR?

Article 34 requires organizations to notify affected individuals when a breach is likely to result in a high risk to their rights and freedoms. High risk typically involves sensitive data categories, large volumes of records, or data that could lead to identity theft or financial loss. If the organization has applied encryption or other measures that render the data unintelligible, individual notification may not be required.

Реагування на витік даних

Triage a breach and meet the 72-hour notification clock.

Що ви дізнаєтесь у Реагування на витік даних

Оцінювати серйозність витоку шляхом класифікації категорій даних, обсягу зачеплених записів та ризику для осіб
Складати повідомлення наглядовому органу, що включає всі елементи, вимагані статтею 33(3) GDPR
Визначати, чи досягає витік порогу "високого ризику", що вимагає прямого повідомлення постраждалих осіб
Координувати внутрішній графік реагування для дотримання 72-годинного дедлайну звітності з моменту виявлення
Документувати рішення та обґрунтування реагування на витік для демонстрації підзвітності під час регуляторного перегляду

Реагування на витік даних — Кроки навчання

вступ

Сьогоднішній тренінг навчить вас про вимоги GDPR щодо сповіщення про порушення даних – одне з найважливіших зобов’язань дотримання будь-якої організації, яка обробляє персональні дані.
Регулярний експорт даних

Аліса готує звичайний експорт даних клієнтів для VendorPartner Inc., законного стороннього партнера з інтеграції. Електронна таблиця містить 847 записів про клієнтів, включаючи імена, адреси електронної пошти, номери телефонів і поштові адреси. Це стандартне щотижневе завдання, яке Аліса виконувала десятки разів раніше. Вона відкриває свій поштовий клієнт, щоб надіслати файл Джону Сміту у VendorPartner.
Помилка

Аліса закінчує вводити електронний лист і натискає «Надіслати». Через кілька секунд вона дивиться на папку «Надіслані» й помічає щось не так. Електронний лист було надіслано на john.smith847@gmail.com замість правильної адреси: john.smith@vendorpartner.com – автозаповнення запропонувало схожу на вигляд особисту адресу Gmail, і Аліса клацнула її, не перевіряючи ретельно. 847 записів клієнтів зараз знаходяться в руках невідомого.
Критичне рішення

У Аліси падає серце. Її першим інстинктом є сподівання, що ніхто не помітить - можливо, одержувач просто видалить це? Можливо, вона може зробити вигляд, що цього ніколи не було? Але Аліса пам’ятає своє навчання GDPR. Порушення даних включає «випадкове або незаконне розкриття персональних даних». Надсилання записів клієнтів на неправильну адресу електронної пошти однозначно відповідає вимогам. Згідно зі статтею 33 GDPR, її компанія має рівно 72 години після того, як «дізнається» про порушення, щоб повідомити наглядовий орган. Годинник починається зараз, а не після закінчення розслідування.
Доступ до порталу інцидентів

Аліса вирішує вчинити правильно і негайно повідомити про подію. Вона відкриває внутрішню систему звітності про інциденти компанії. DataGuard Solutions має спеціальний портал для звітування про порушення, який підключається безпосередньо до спеціаліста із захисту даних (DPO) і групи реагування на інциденти.
Подання звіту про порушення

Аліса заповнює форму звіту про інцидент із повною інформацією про неправильно направлений електронний лист. Важливо бути ретельним і чесним – DPO потрібна точна інформація, щоб оцінити серйозність порушення та визначити вимоги до сповіщення.
Відповідь DPO

Через кілька хвилин після подання звіту Алісі дзвонить доктор Сара Чен, спеціаліст із захисту даних компанії. Доктор Чен дякує Алісі за негайне повідомлення та пояснює, як працює процес оцінки порушень відповідно до GDPR.
Розуміння правила 72 годин

Доктор Чен пояснює ключові вимоги GDPR: Стаття 33 : Контролери повинні повідомити наглядовий орган протягом 72 годин після того, як їм стало відомо про порушення Годинник запрацював, коли Аліса зрозуміла, що електронний лист надійшов на неправильну адресу, а не після завершення розслідування Вихідні та святкові дні не подовжують термін Неповідомлення може призведе до штрафів у розмірі до 10 мільйонів євро або 2% світового річного доходу Тепер DPO оцінить, чи може це порушення «спричинити загрозу правам і свободам фізичних осіб» — якщо так, повідомлення органу є обов’язковим.
Дії стримування

Команда реагування на інцидент розпочала стримування: Спроба відкликання електронної пошти через поштовий сервер ІТ-безпека аналізує журнали сервера Юридичну групу повідомлено З невідомим одержувачем Gmail зв’язалися з проханням видалити Доктор. Чень пояснює, що навіть за умов стримування порушення все одно потрібно задокументувати та потенційно повідомити про нього. Ключове питання полягає в тому, чи становить порушення ризик для постраждалих осіб.
Документування інциденту

Навіть якщо повідомлення наглядового органу не вимагається, GDPR вимагає, щоб усі порушення були задокументовані внутрішньо. Алісу просять надати додаткову документацію про інцидент, включаючи точний графік і будь-які докази, які вона має.

Що ви дізнаєтесь у Реагування на витік даних

Реагування на витік даних — Кроки навчання

вступ

Регулярний експорт даних

Помилка

Критичне рішення

Доступ до порталу інцидентів

Подання звіту про порушення

Відповідь DPO

Розуміння правила 72 годин

Дії стримування

Документування інциденту