☎️ +38 (067) 501-01-66    ☎️ +38 (050) 523-56-46
Bankir@banksinfo.kiev.ua  ✉ Digital@banksinfo.kiev.ua
Image
Image
Image
kbs-izdat.com
Image

Как подготовиться к утечке персональных данных: опыт МАУ

Звезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активна
 

На конференции GDPR Summit 2021, которая проходит 7 октября в Киеве, выступил Data Protection Officer компании МАУ (Международные Авиалинии Украины) Станислав Коваленко. Он рассказал о том, как компаниям следует готовиться к утечке персональных данных, поскольку, уверен эксперт, рано или поздно любая компания, независимо от размера и репутации, может стать жертвой взлома.

1. Прежде всего, необходимо подготовить и имплементировать процедуры обнаружения и расследования утечки персональных данных (нарушение данных), а также убедиться в том, что они отвечают требованиям регламента.

2. В соответствии со ст.33 GDPR, в случае утечки персональных данных и при высоких рисках для субъектов данных, компания должна оповестить соответствующий контролирующий орган о факте утечки без неоправданной задержки. А в случае задержки оповещения продолжительностью более 72 часов после обнаружения утечки требуется прилагать письменное объяснение причин такой задержки.

3. Информация о нарушении данных, которая передается в соответствующий контролирующий орган, должна содержать:

  • описание факта утечки, включая количество субъектов и категории персональных данных;
  • имя и контрактные детали DPO (иного ответственного лица);
  • вероятные последствия такой утечки персональных данных;
  • меры, предпринятые компанией, организацией для устранения утечки персональных данных и уменьшения негативных последствий такой утечки.

По словам Станислава Коваленко, МАУ пока не сталкивалась с утечкой данных, хотя одна возникшая ситуация требовала тщательной проверки триггеров, которые бы точно указывали на взлом. После соответствующей проверки оказалось, что преступники не получили доступ к базе данных клиентов МАУ.

Также представитель авиакомпании отметил важность начначения в компаниях лица, ответственного за обработку и защиту данных (Data Protection Officer).

«Все компании, независимо от типа или размера, которые обрабатывают персональные данные и на которые распространяется требования GDPR, должны иметь кого-то, кому будет поручено следить за соблюдением Регламента (часть «организационных мер», ст. 25)».

Также эксперт рекомендует разработать отдельную программу обучения сотрудников по защите ПД и по действиям в случае обнаружения или подозрения утечки ПД. Обучение не должно быть разовой акцией, т.к. в компании постоянно меняются бизнес-процессы, появляются новые практики и разъяснения в отношении норм законодательства по защите ПД.

«Всегда помните о принципе минимизации (Data minimisation) — собирать и хранить следует только минимальное количество персональных данных, достаточных для указанной цели», — добавил DPO компании МАУ.

Если заметили ошибку, выделите фрагмент текста и нажмите Ctrl+Enter
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image
Image