Οι συνέπειες ενός συμβάντος – γιατί είναι σημαντικό να διατηρείτε αρχεία παραβιάσεων δεδομένων και συμβάντων απορρήτου

1
Οι συνέπειες ενός συμβάντος – γιατί είναι σημαντικό να διατηρείτε αρχεία παραβιάσεων δεδομένων και συμβάντων απορρήτου
Έκθεση Προστασίας Δεδομένων - Norton Rose Fulbright

Καθώς τα περιστατικά απορρήτου και οι παραβιάσεις της ασφάλειας που αφορούν προσωπικά στοιχεία γίνονται όλο και πιο συχνά, οι οργανισμοί συνειδητοποιούν όλο και περισσότερο τη σημασία της εφαρμογής ενός ισχυρού προγράμματος απορρήτου για τον μετριασμό των κινδύνων και των επιπτώσεων τέτοιων περιστατικών. Αν και αυτή η προετοιμασία είναι σημαντική, οι οργανισμοί πρέπει επίσης να εξετάσουν τις συνέπειες ενός περιστατικού προστασίας της ιδιωτικής ζωής. Σε αυτήν την πρώτη ανάρτηση ιστολογίου, θα συζητήσουμε νομικές υποχρεώσεις και διαδικαστικά ζητήματα σχετικά με την τήρηση αρχείων περιστατικών απορρήτου.

Νομικές Υποχρεώσεις

Οι νόμοι περί απορρήτου του ιδιωτικού τομέα έχουν ποικίλες υποχρεώσεις σχετικά με τη διατήρηση αρχείων περιστατικών απορρήτου.

Η ομοσπονδιακή Νόμος περί προστασίας προσωπικών πληροφοριών και ηλεκτρονικών εγγράφων (PIPEDA) απαιτεί από τους οργανισμούς να τηρούν αρχείο όλων των παραβιάσεων που αφορούν προσωπικά στοιχεία. Το νέο του Κεμπέκ Πράξη για τον εκσυγχρονισμό των νομοθετικών διατάξεων όσον αφορά την προστασία των προσωπικών δεδομένων (παλαιότερα γνωστό ως Bill 64, και τώρα ως το Νόμος 25) ομοίως, από τις 22 Σεπτεμβρίου 2022, θα απαιτήσει από όλους τους οργανισμούς του ιδιωτικού τομέα να τηρούν μητρώο περιστατικών εμπιστευτικότητας. Τόσο το PIPEDA όσο και ο νόμος 25 υποδεικνύουν επίσης ότι αυτά τα αρχεία πρέπει να παρέχονται στον Επίτροπο Προστασίας Προσωπικών Δεδομένων του Καναδά (το OPC) ή το Επιτροπή για την πρόσβαση στις πληροφορίες (ο CAI), αντίστοιχα, κατόπιν αιτήματος. Αυτά τα μητρώα πρέπει να περιλαμβάνουν όλα τα περιστατικά, ανεξάρτητα από το εάν πληρούται ή όχι το όριο για κοινοποίηση.

Άλλες δικαιοδοσίες ενδέχεται επίσης να απαιτούν έμμεσα από τις επιχειρήσεις να διατηρούν παρόμοια αρχεία, μέσω άλλων νομοθετικών απαιτήσεων. Για παράδειγμα, της Αλμπέρτα Νόμος για την Προστασία Προσωπικών Δεδομένων (ο ΑΠΟ PIPA) εκχωρεί στον Επίτροπο Πληροφοριών και Προστασίας Προσωπικών Δεδομένων της Αλμπέρτα την εξουσία να ζητήσει από τους οργανισμούς να του παράσχουν οποιεσδήποτε πρόσθετες πληροφορίες κρίνει αναγκαίες για να καθοριστεί εάν τα άτομα θα πρέπει να ειδοποιηθούν για μη εξουσιοδοτημένη πρόσβαση ή αποκάλυψη προσωπικών πληροφοριών. Ως εκ τούτου, οι οργανισμοί της Αλμπέρτα θα πρέπει, τουλάχιστον, να τηρούν αρχείο της ανάλυσής τους σχετικά με την κοινοποίηση περιστατικών, ώστε να είναι σε θέση να αποδείξουν το σκεπτικό πίσω από μια τέτοια απόφαση.

Επιπλέον, οι οργανισμοί θα πρέπει να θυμούνται τις εξουσίες έρευνας που έχουν παραχωρηθεί στις ρυθμιστικές αρχές. PIPEDA, Law 25, AB PIPA και British Columbia’s Νόμος για την Προστασία Προσωπικών Δεδομένων, όλοι παρέχουν στον αντίστοιχο επίτροπο απορρήτου εξουσίες διερεύνησης σχετικά με τη συμμόρφωση με τους αντίστοιχους νόμους περί απορρήτου. Τέτοιες έρευνες μπορούν να διεξαχθούν για να διασφαλιστεί ότι ένας οργανισμός ανταποκρίθηκε σε ένα περιστατικό προστασίας της ιδιωτικής ζωής κατάλληλα και σύμφωνα με την ισχύουσα νομοθεσία.

Οι οργανισμοί θα πρέπει επίσης να γνωρίζουν τυχόν υποχρεώσεις τήρησης αρχείων που ενδέχεται να υπόκεινται σε συγκεκριμένο τομέα. Για παράδειγμα, οι οργανισμοί που δραστηριοποιούνται στους κλάδους της υγείας, των τηλεπικοινωνιών ή των χρηματοπιστωτικών υπηρεσιών ενδέχεται να απαιτείται να τηρούν αρχείο των συμβάντων προστασίας της ιδιωτικής ζωής σύμφωνα με ένα ειδικό νόμο ή κανονισμό για τον κλάδο.

Διαδικαστικά ζητήματα

Οι οργανισμοί πρέπει επίσης να εξετάσουν ποιες πληροφορίες θα συμπεριληφθούν στο αρχείο των περιστατικών απορρήτου τους. Από την άποψη αυτή, της ΠΙΠΕΔΑ Παραβίαση του Κανονισμού Διασφαλίσεων Ασφαλείας περιγράφει ξεκάθαρα ότι τέτοια αρχεία πρέπει να περιέχουν αρκετές πληροφορίες που να αποδεικνύουν τη συμμόρφωση με τις νομοθετικές απαιτήσεις για την ειδοποίηση του OPC και των επηρεαζόμενων ατόμων. Ο νόμος 25 υποδεικνύει ότι το περιεχόμενο του μητρώου μπορεί να καθοριστεί από κυβερνητικό κανονισμό, ο οποίος πιθανώς θα είναι παρόμοιος με τις απαιτήσεις του PIPEDA. Έτσι, οι οργανισμοί θα πρέπει να τηρούν ελάχιστα αρχεία που περιγράφουν τα γεγονότα ενός περιστατικού και, το πιο σημαντικό, την ανάλυσή τους για το εάν απαιτείται ή όχι η ειδοποίηση ατόμων και ρυθμιστικών αρχών σύμφωνα με την ισχύουσα νομοθεσία.

Οι οργανισμοί θα πρέπει επίσης να εξετάσουν πόσο καιρό θα διατηρούν αυτά τα αρχεία. ο Παραβίαση του Κανονισμού Διασφαλίσεων Ασφαλείας παρέχει μια σαφή απάντηση σε αυτό το ερώτημα: οι υποκείμενοι οργανισμοί πρέπει να τηρούν αρχείο μιας παραβίασης για μια περίοδο δύο ετών από την ημέρα κατά την οποία σημειώθηκε η παραβίαση, όπως καθορίζεται από τον οργανισμό. Τούτου λεχθέντος και όπως αναφέρθηκε προηγουμένως, οι οργανισμοί σε ρυθμιζόμενες βιομηχανίες θα πρέπει να εξετάσουν τυχόν άλλες νομικές υποχρεώσεις που τους απαιτούν να τηρούν αρχείο για μεγαλύτερο χρονικό διάστημα ή τι πρέπει να περιλαμβάνουν αυτά τα αρχεία.

Τέλος, οι οργανισμοί πρέπει να εξετάσουν τον τρόπο πρόσβασης στα αρχεία τους, δεδομένου ότι οι ρυθμιστικές αρχές ενδέχεται να ζητήσουν αντίγραφό τους. Τα αρχεία θα πρέπει να αποθηκεύονται με τέτοιο τρόπο ώστε να μπορούν εύκολα να εξαχθούν και/ή να κοινοποιηθούν σε εξωτερικούς φορείς. Οργανισμοί που υποχρεούνται να συμμορφωθούν με το Νόμο 25 μπορεί να θελήσουν να εξετάσουν το ενδεχόμενο χρήσης παρόμοιων τεχνολογιών με εκείνες που θα χρησιμοποιηθούν για τη συμμόρφωση με το νέο φορητότητα δεδομένων δικαίωμα που παρέχεται σε ιδιώτες.

Μπορεί να υπάρχουν άλλοι λόγοι για τους οργανισμούς να καταγράφουν τα περιστατικά απορρήτου τους. Στην επόμενη δημοσίευσή μας, θα συζητήσουμε τα επιχειρηματικά πλεονεκτήματα της διατήρησης τέτοιων αρχείων, μεταξύ άλλων στο πλαίσιο των συγχωνεύσεων και εξαγορών και για σκοπούς ανάλυσης.

Schreibe einen Kommentar