Segnalare correttamente una violazione dei dati: Processo di segnalazione secondo il GDPR con scadenze, valutazione e documentazione

Processo di segnalazione in caso di violazione dei dati
Categorie:
, ,
Immagine di Marcus Belke

Marcus Belke

CEO di 2B Advice GmbH, che guida l'innovazione nella privacy conformità e di gestione del rischio e di guidare lo sviluppo di Ailance, la nuova generazione di prodotti per la salute. conformità piattaforma.

Le violazioni dei dati sono oggi uno degli incidenti di conformità più comuni nelle organizzazioni. Gli incidenti tecnici di sicurezza, le configurazioni errate dei sistemi IT o gli errori umani possono portare a Dati personali vengono divulgati, alterati o persi senza autorizzazione. Tuttavia, un tale incidente diventa rilevante ai sensi della legge sulla protezione dei dati solo se viene considerato una violazione della protezione dei dati personali ai sensi dell'art. 4 n. 12 del GDPR. GDPR è da qualificare. In pratica, non è tanto la situazione giuridica astratta quanto la sua attuazione organizzativa a rappresentare la sfida maggiore. Gli incidenti devono essere valutati, gli obblighi di segnalazione verificati, le misure documentate e le decisioni di comunicazione prese in tempi brevi. Di seguito troverete una panoramica dei punti rilevanti.

Scadenze per la segnalazione e decorrenza dei termini in caso di violazione dei dati

Il sistema di reporting del GDPR distingue tra la segnalazione al Autorità di vigilanza ai sensi dell'art. 33 GDPR e l'informativa agli interessati ai sensi dell'art. 34 GDPR.

Art. 33 comma 1 GDPR richiede al responsabile del trattamento di segnalare una violazione dei dati personali senza indebito ritardo e, ove possibile, entro 72 ore dal momento in cui ne viene a conoscenza, all'autorità competente per la protezione dei dati. Autorità di vigilanza devono essere segnalati. La notifica può essere omessa se è improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone fisiche. Se il termine viene superato, il ritardo deve essere giustificato.

L'inizio della scadenza non è legato a un chiarimento completo dell'incidente. Secondo il Linee guida del Comitato europeo per la protezione dei dati, una violazione dei dati si considera „nota“ nel momento in cui il Persone responsabili ha la ragionevole certezza che si sia verificato un incidente di sicurezza che compromette la protezione dei dati personali. È consentito un breve esame iniziale, ma deve iniziare immediatamente.

I responsabili del trattamento sono soggetti all'art. 33, comma 2. GDPR un obbligo a monte: devono segnalare senza indugio al responsabile del trattamento una violazione dei dati di cui vengono a conoscenza. Nelle strutture organizzative complesse, ciò si traduce spesso in un processo di escalation interna che precede il termine effettivo di 72 ore.

Notifica agli interessati ai sensi dell'art. 34 GDPR è necessario solo se esiste un rischio elevato per i loro diritti e le loro libertà. Deve essere effettuata immediatamente, a condizione che non si applichino eccezioni legali, ad esempio se si adottano misure tecniche di protezione adeguate - come ad esempio Cifratura - rendere i dati inaccessibili a persone non autorizzate.

Oltre al GDPR possono esistere ulteriori obblighi di notifica. Ad esempio, il Regolamento (UE) n. 611/2013 contiene un sistema di notifica separato con scadenze particolarmente brevi per i fornitori di servizi di comunicazione elettronica accessibili al pubblico. Inoltre, la legge sulla cybersecurity prevede un sistema di notifica a livelli per gli incidenti di sicurezza significativi per alcune organizzazioni nell'ambito del BSIG.

Valutazione e decisione sul rischio

La sfida legale principale in caso di violazione dei dati risiede nella valutazione del rischio.

Occorre innanzitutto verificare se vi sia stata una violazione della protezione dei dati personali ai sensi dell'art. 4, n. 12, del Codice Civile. GDPR è presente. Non tutti gli incidenti di sicurezza informatica soddisfano questo requisito.

Se si è verificata una violazione di questo tipo, occorre verificare se ciò comporta un rischio per i diritti e le libertà delle persone fisiche. Solo in questo caso sussiste l'obbligo di notificare al Autorità di vigilanza.

Solo quando la valutazione risulta in un alto rischio Se il trattamento dei dati comporta la perdita dei dati, scatta un ulteriore obbligo di informare gli interessati.

Le possibili conseguenze dei danni svolgono un ruolo particolare nella valutazione del rischio. Queste includono furto d'identità, perdite finanziarie, discriminazione, danni alla reputazione o altri svantaggi materiali o immateriali.

Per l'implementazione organizzativa, si raccomanda un modello di valutazione strutturato che combini la probabilità di accadimento e la gravità del danno e che tenga conto allo stesso tempo delle misure di protezione già implementate.

Documentazione e verifica di una violazione dei dati

Il Documentazione delle violazioni della protezione dei dati è un obbligo legale indipendente.

Art. 33 comma 5 GDPR obbligato Persone responsabili, documentare tutte le violazioni dei dati, comprese le cause, gli effetti e le misure correttive. Il Documentazione deve essere il Autorità di vigilanza consentirci di verificare il rispetto degli obblighi di legge.

Nel diritto delle telecomunicazioni, l'articolo 169 TKG integra questo obbligo con un registro delle violazioni della protezione dei dati. Tuttavia, questo non deve prendere in considerazione gli incidenti avvenuti più di cinque anni fa.

La protezione delle prove tecniche è di particolare importanza. Contromisure non controllate possono distruggere le tracce digitali e rendere più difficili i successivi chiarimenti. Per questo motivo, la gestione degli incidenti dovrebbe già specificare le condizioni in cui devono essere avviate le indagini forensi.

Un ulteriore meccanismo di protezione deriva dall'articolo 42 (4) del BDSG. In base ad esso, le notifiche ai sensi dell'art. 33 GDPR non possono essere utilizzati contro la persona soggetta all'obbligo di segnalazione in un procedimento penale senza il suo consenso. Questo regolamento intende promuovere una comunicazione aperta con le autorità di vigilanza.

Suggerimento di lettura: Misure tecniche e organizzative: cosa devono prendere in considerazione le aziende

Comunicazione con le autorità e le parti interessate

Gli obblighi di comunicazione sono stabiliti dagli artt. 33 e 34. GDPR regolati in dettaglio.

Un rapporto al Autorità di vigilanza deve contenere in particolare le seguenti informazioni:

  • una descrizione della natura della violazione dei dati,
  • Informazioni sulle categorie di dati e sui gruppi di persone interessate,
  • Dati di contatto di un punto di contatto,
  • una presentazione delle possibili conseguenze e
  • Informazioni sulle contromisure già adottate o previste.

Se non tutte le informazioni sono immediatamente disponibili, possono essere fornite passo dopo passo.

Le informazioni fornite alle persone interessate devono essere redatte in un linguaggio chiaro e semplice e spiegare in particolare la natura della violazione, le possibili conseguenze e le misure di protezione raccomandate.

Se lo sforzo richiesto è sproporzionato, un annuncio pubblico può sostituire la notifica individuale.

Lezioni apprese: revisione post incidente

Le violazioni dei dati non devono essere solo segnalate, ma anche analizzate sistematicamente.

Una revisione post incidente deve esaminare in particolare,

  • se le scadenze sono state rispettate correttamente,
  • se il momento della divulgazione è stato determinato correttamente,
  • se la decisione sul rischio è documentata in maniera comprensibile e
  • se la comunicazione con le autorità e le parti interessate fosse conforme alla legge.


Per il controllo organizzativo si possono utilizzare dati chiave come il tempo che intercorre tra la prima valutazione del rischio, il tempo che intercorre tra la notifica alle autorità o la coerenza tra il quadro della situazione interna e la comunicazione esterna.

Il playbook degli incidenti come precauzione per le violazioni dei dati

La gestione strutturata delle violazioni dei dati richiede una protezione dei dati vincolante. Libro di gioco sugli incidenti. Questo dovrebbe tradurre il processo decisionale legale in processi operativi e definire chiare responsabilità.

Tale manuale dovrebbe contenere in particolare

  • una definizione di violazione dei dati ai sensi dell'art. 4 n. 12 GDPR

  • una matrice di scadenze per gli obblighi di rendicontazione

  • un processo di valutazione documentato per le decisioni a rischio e ad alto rischio

  • Moduli di comunicazione per autorità e Parti interessate

  • Procedura di conservazione delle prove e successiva notifica

Un processo di reporting strutturato non è quindi solo un obbligo di legge, ma una componente centrale della moderna governance della protezione dei dati e della sicurezza.

2B Advice supporta le organizzazioni nello sviluppo e nell'implementazione di tali playbook sugli incidenti, dalla struttura legale all'implementazione pratica in azienda. Se avete domande o siete interessati a una soluzione strutturata per affrontare le violazioni dei dati, contattateci.

Marcus Belke è amministratore delegato di 2B Advice, nonché avvocato ed esperto di informatica per Protezione dei dati e digitale Conformità. Scrive regolarmente di governance dell'IA, conformità al GDPR e gestione del rischio. Potete trovare maggiori informazioni su di lui sul sito Pagina del profilo dell'autore.

Contattateci
Tag:
, , , , , ,
Condividi questo post :

Categorie più popolari

Newsletter

Iscrivetevi alla nostra newsletter sulla protezione dei dati per ricevere gli ultimi aggiornamenti, consigli e approfondimenti direttamente nella vostra casella di posta elettronica.
Abbonarsi

Ultimi messaggi