Kuinka osoittaa GDPR-artiklan 33 noudattaminen

Mikä on GDPR:n artikla 33? Nopea yleiskatsaus vaatimustenmukaisuusvaatimuksiin

GDPR Artikla 33 koskee organisaation velvollisuutta ilmoittaa asianomaiselle laki- tai sääntelyviranomaiselle, jos henkilön oikeudet ja vapaudet ovat vaarantuneet hänen toiminnan (tai kumppanin kolmannen osapuolen toiminnan) vuoksi rekisterinpitäjänä.

GDPR artiklan 33 lakiteksti

EU:n GDPR-versio

Ilmoitus henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle

1. Henkilötietojen loukkauksen tapauksessa rekisterinpitäjän on viipymättä ja mahdollisuuksien mukaan viimeistään 72 tunnin kuluttua siitä, kun se on tietoinen siitä, ilmoitettava henkilötietojen loukkauksista 55 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle, paitsi jos henkilötietojen loukkaaminen ei todennäköisesti vaaranna luonnollisten henkilöiden oikeuksia ja vapauksia. Jos ilmoitusta valvontaviranomaiselle ei tehdä 72: n tunnin sisällä, siihen on liitettävä viivästymisen syyt.
2. Käsittelijän on ilmoitettava rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan tietoonsa henkilötietojen tietoturvaloukkauksesta.
3. Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään:
• Kuvaa henkilötietojen tietoturvaloukkauksen luonne, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen luokat ja likimääräinen lukumäärä sekä asianomaisten henkilötietojen luokat ja likimääräinen lukumäärä;
• Ilmoita tietosuojavastaavan tai muun yhteyspisteen nimi ja yhteystiedot, josta voi saada lisätietoja;
• Kuvaa henkilötietoloukkauksen todennäköisiä seurauksia;
• Kuvaile toimenpiteitä, joihin rekisterinpitäjä on ryhtynyt tai aikoo ryhtyä henkilötietoturvaloukkauksen korjaamiseksi, mukaan lukien tarvittaessa toimenpiteet sen mahdollisten haitallisten vaikutusten lieventämiseksi.
4. Jos ja siltä osin kuin tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta lisäviivettä.
5. Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset sisältäen henkilötietoloukkaukseen liittyvät tosiasiat, sen vaikutukset ja toteutetut korjaavat toimenpiteet. Näiden asiakirjojen avulla valvontaviranomainen voi tarkistaa tämän artiklan noudattamisen.

Yhdistyneen kuningaskunnan GDPR-versio

Ilmoitus henkilötietojen tietoturvaloukkauksesta komissaarille

1. Jos kyseessä on henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilman aiheetonta viivytystä ja mahdollisuuksien mukaan viimeistään 72 tunnin kuluttua siitä saatuaan tiedon tietoturvaloukkauksesta ilmoitettava tietosuojavaltuutetulle, ellei henkilötietojen tietoturvaloukkaus ole epätodennäköistä vaarantaa luonnollisten henkilöiden oikeudet ja vapaudet. Jos tämän kohdan mukaista ilmoitusta ei tehdä 72 tunnin kuluessa, siihen on liitettävä syyt viivästymiseen.
2. Käsittelijän on ilmoitettava rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan tietoonsa henkilötietojen tietoturvaloukkauksesta.
3. Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään:
• Kuvaa henkilötietojen tietoturvaloukkauksen luonne, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen luokat ja likimääräinen lukumäärä sekä asianomaisten henkilötietojen luokat ja likimääräinen lukumäärä;
• Ilmoita tietosuojavastaavan tai muun yhteyspisteen nimi ja yhteystiedot, josta voi saada lisätietoja;
• Kuvaa henkilötietoloukkauksen todennäköisiä seurauksia;
• Kuvaile toimenpiteitä, joihin rekisterinpitäjä on ryhtynyt tai aikoo ryhtyä henkilötietoturvaloukkauksen korjaamiseksi, mukaan lukien tarvittaessa toimenpiteet sen mahdollisten haitallisten vaikutusten lieventämiseksi.
4. Jos ja siltä osin kuin tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta lisäviivettä.
5. Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset sisältäen henkilötietoloukkaukseen liittyvät tosiasiat, sen vaikutukset ja toteutetut korjaavat toimenpiteet. Näiden asiakirjojen avulla komission jäsen voi tarkistaa tämän artiklan noudattamisen.

Tekninen kommentti

Kaikkien rikkomukseen liittyvien tapahtumien perusteellisen dokumentoinnin lisäksi organisaatioiden on otettava huomioon kuusi hallitsevaa tekijää kun toimit tietoturvaloukkauksen johdosta:

1. Tietoturvaloukkauksen määritelmä – "turvaloukkaus, joka johtaa siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuvaan tai laittomaan tuhoutumiseen, katoamiseen, muuttamiseen, luvattomaan luovuttamiseen tai pääsyyn".
2. Säilytetään välitön tietoisuus rikkomuksesta ja hankitaan "kohtuullinen tarkastus", kun epäilty rikkominen on tapahtunut.
3. Tietoturvaloukkauksesta mahdollisesti aiheutuvat riskit yksilön vapauksille ja kuinka todennäköisinä nämä riskit ovat.
4. Riskin vakavuus, mukaan lukien.
• Riskiluokka.
• Tietojen määrä, johon se vaikuttaa, ja tietomurron koko.
• Kuinka he pystyvät tunnistamaan mahdolliset kärsineet henkilöt.
• Kuinka vakava rikkominen on konkreettisten seurausten kannalta henkilöille, joihin se vaikuttaa (ja kuinka haavoittuvia he ovat).
• Organisaation liiketoiminnan luonne ja onko se suurempi riski (esim. taloudelliset tiedot).
5. Jos mahdollista, tarve ilmoittaa viranomaisille kuluessa 72 tuntia.
6. Tarve esittää pätevä syy ottaa yhteyttä viranomaisiin 72 tunnin kuluttua, jos näin tapahtuu.

Ilmoittaessaan valvontaviranomaiselle organisaatioiden on:

• Kuvaile rikkomuksen luonnetta.
• Nimeä yhteyspiste.
• Kuvaa mahdollisten seurausten todennäköisyys.
• Kuvaile rikkomuksen johdosta toteutetut toimet.
• Anna kaikki rikkomukseen liittyvät lisätiedot.

ISO 27701 -lauseke 6.13.1.1 (Vastuu ja menettelyt) ja EU:n GDPR:n artiklat 34 (1), 34 (2), 34 (3) (a), 34 (3) (b), 34 (3) (c) ja 34 (4)

Luodakseen yhtenäisen, erittäin toimivan tapaustenhallintapolitiikan, joka turvaa tietosuojatietojen saatavuuden ja eheyden kriittisten tapausten aikana, organisaatioiden tulee:

1. Noudata tietosuojatietoturvatapahtumien raportointitapaa.
2. Luo joukko prosesseja, jotka hallitsevat yksityisyyden tietoturvaan liittyviä tapahtumia kaikkialla yrityksessä, mukaan lukien:
• Hallinto.
• Dokumentointi.
• Havaitseminen.
• Triage.
• Prioriteetti.
• Analyysi.
• Viestintä.
3. Laadi tapausten reagointimenettely, jonka avulla organisaatio voi arvioida tapauksia, reagoida niihin ja oppia niistä.
4. Varmista, että tapauksia hallitsee koulutettu ja pätevä henkilöstö, joka hyötyy jatkuvasta työpaikan koulutus- ja sertifiointiohjelmista

Tietosuojatietoturvaloukkauksiin osallistuvan henkilöstön tulee ymmärtää:

• Tapauksen ratkaisemiseen tarvittava aika.
• Mahdolliset seuraukset.
• Tapahtuman vakavuus.

Käsitellessään tietosuojaa koskevia tietoturvatapahtumia henkilökunnan tulee:

1. Arvioi tapahtumia tiukkojen kriteerien mukaisesti, mikä vahvistaa ne hyväksytyiksi tapahtumiksi.
2. Luokittele tietosuojan tietoturvatapahtumat viiteen ala-aiheeseen:
• Valvonta (katso ISO 27002 Kontrollit 8.15 ja 8.16).
• Tunnistus (katso ISO 27002 Control 8.16).
• Luokitus (katso ISO 27002 Control 5.25).
• Analyysi.
• Raportointi (katso ISO 27002 Control 6.8).
3. Ratkaiseessaan tietosuojaa koskevia tietoturvaloukkauksia organisaatioiden tulee:
• Vastaa ja eskaloi ongelmat (katso ISO 27002 Control 5.26) tapahtumatyypin mukaan.
• Aktivoi kriisinhallinta ja liiketoiminnan jatkuvuussuunnitelmat.
• Vaikuttaa ohjattuun toipumiseen tapahtumasta, joka lieventää toiminnallisia ja/tai taloudellisia vahinkoja.
• Varmista, että tapahtumiin liittyvistä tapahtumista tiedotetaan perusteellisesti kaikille asiaankuuluville henkilöille.
4. Osallistu yhteistyöhön (katso ISO 27002 Controls 5.5 ja 5.6).
5. Kirjaa kaikki tapahtumanhallintaan perustuvat toiminnot.
6. Vastaa tapahtumiin liittyvien todisteiden käsittelystä (katso ISO 27002 Control 5.28).
7. Suorita perusteellinen perussyyanalyysi minimoidaksesi vaaran, että tapahtuma toistuisi, mukaan lukien ehdotetut muutokset prosesseihin.

Raportointitoiminnan tulisi keskittyä neljän avainalueen ympärille:

• Toimenpiteet, jotka on suoritettava tietoturvatapahtuman sattuessa.
• Tapahtumalomakkeita, jotka tallentavat tietoja koko tapahtuman ajan.
• Päästä päähän -palauteprosessit kaikille asiaankuuluville henkilöille.
• Tapahtumaraportit kertovat yksityiskohtaisesti, mitä tapahtui, kun tapaus on ratkaistu.

Tukee ISO 27002 -säätimiä

• ISO 27002 5.25
• ISO 27002 5.26
• ISO 27002 5.5
• ISO 27002 5.6
• ISO 27002 6.8
• ISO 27002 8.15
• ISO 27002 8.16

ISO 27701 -lauseke 6.13.1.5 (Reagointi tietoturva-onnettomuuksiin) ja EU:n GDPR:n artiklat 34 (1) ja 34 (2)

Organisaatioiden tulee varmistaa, että yksityisyyden tietoturvaloukkauksia käsittelee oma tekninen tiimi, jolla on taidot ja resurssit nopeaan ratkaisuun (katso ISO 27002 Control 5.24).

Organisaatioiden tulee:

• sisältää kaikki alkuperäisestä ongelmasta johtuvat yksityisyyteen liittyvät uhat.
• kerätä todisteita koko ratkaisuprosessin ajan.
• sisältää eskaloinnin, BUDR-toiminnot ja jatkuvuuden suunnittelun kaikissa ratkaisutoimissa (katso ISO 27002 Controls 5.29 ja 5.30).
• kirjaa kaikki tapahtumaan liittyvät toimet.
• varmistaa, että henkilökunta toimii "tarve tietää" -periaatteella käsitellessään yksityisyyttä koskevia tietoja.
• olemaan jatkuvasti tietoisia velvollisuuksistaan ​​asiakkaitaan ja ulkopuolisia organisaatioita kohtaan tiedottaessaan tietosuojatietohäiriöistä ja tietomurroista.
• tapaukset tiukkojen ratkaisukriteerien mukaisesti.
• suorittaa rikosteknisen analyysin (katso ISO 27002 Control 5.28) tarpeen mukaan.
• Yritä selvittää tapahtuman taustalla oleva syy, kun se on ratkaistu (katso ISO 27002 Control 5.27).
• ryhtyä korjaaviin toimenpiteisiin liittyvissä prosesseissa, hallinnassa, käytännöissä ja menettelyissä vahvistaakseen organisaation yksityisyyden suojaa, kun tapaus on ratkaistu.

Tukee ISO 27002 -säätimiä

• ISO 27002 5.24
• ISO 27002 5.27
• ISO 27002 5.28
• ISO 27002 5.29
• ISO 27002 5.30

Hakemisto linkitetyistä EU:n GDPR-artikkeleista, ISO 27701 -lausekkeista ja ISO 27002 -säädöksistä

Miten ISMS.online auttaa

GDPR:n rikkominen voi johtaa merkittäviin sakkoihin, mikä tekee siitä yhden maailman tiukimmista tietosuoja- ja turvallisuussäännöistä. Tästä seuraa, että organisaatioiden on suojattava henkilötietoja "kohtuullisessa" laajuudessa.

Mutta tässä on hyvä uutinen.

Turvallisessa, aina päällä olevassa paikassa ISMS.online tekee sinusta helppoa hypätä suoraan GDPR-vaatimustenmukaisuuteen ja osoittaa suojaustasoa, joka ylittää "kohtuullisen".

Teemme tietojen kartoittamisesta yksinkertaisen tehtävän. Lisäämällä organisaatiosi tiedot valmiiksi määritettyyn dynaamiseen käsittelytoiminnan tietueeseen -työkaluun, voit helposti tallentaa ja tarkistaa kaiken.

Jos pahin tapahtuu, olet valmis.

Työkalujemme avulla voit suunnitella, kommunikoida, dokumentoida ja oppia kaikista rikkomuksista.

Lisätietoja: varata lyhyt 30 minuutin demo.