Dom Bezpieczeństwo Powiadomienie o naruszeniu danych: otoczenie prawne i regulacyjne

Powiadomienie o naruszeniu danych: otoczenie prawne i regulacyjne

Spisu treści:

Anonim

W Stanach Zjednoczonych istnieją różne federalne i stanowe przepisy dotyczące powiadamiania o naruszeniu danych, chociaż nie ma kompleksowego prawa federalnego. W maju 2011 r. Administracja Obamy przedłożyła Kongresowi kompleksową propozycję dotyczącą bezpieczeństwa cybernetycznego, która zawiera federalne wymaganie powiadomienia o naruszeniu danych. Mogłoby to znacznie poprawić cyberbezpieczeństwo, ale od stycznia 2012 r. Nie uchwalono przepisów federalnych dotyczących powiadamiania o naruszeniu danych. W tym artykule przyjrzymy się bezpieczeństwu danych i przepisom, które są tworzone w celu zaradzenia naruszeniom. (Aby zapoznać się z podstawowymi informacjami, zobacz Podstawowe zasady bezpieczeństwa IT).

Dokonywanie sprawy federalnej

Na szczeblu federalnym USA obowiązują przepisy i wytyczne wymagające powiadomienia o naruszeniu określonych rodzajów danych: Ustawa o przenośności i odpowiedzialności za ubezpieczenie zdrowotne (HIPAA) oraz Ustawa o technologiach informatycznych w zakresie zdrowia ekonomicznego i klinicznego (HITECH) w zakresie informacji na temat opieki zdrowotnej, Ustawa Gramm-Leach-Bliley dotycząca informacji finansowych oraz wytyczne Urzędu Zarządzania i Budżetu (OMB) dotyczące danych osobowych będących w posiadaniu agencji federalnych.


Zgodnie z ustawą HITECH podmioty świadczące opiekę zdrowotną objęte HIPAA muszą „niezwłocznie” powiadomić pacjentów o naruszeniu ich informacji zdrowotnych. Departament Zdrowia i Opieki Społecznej (HHS) oraz media muszą zostać powiadomione w przypadkach, gdy naruszenia dotyczą ponad 500 osób. Dostawcy danych osobowych dotyczących zdrowia mają podobne wymagania dotyczące zgłaszania naruszeń, ale muszą poinformować o tym Federalną Komisję Handlu, a nie HHS.


Zgodnie z wytycznymi wydanymi przez federalne organy nadzoru bankowego na podstawie ustawy Gramm-Leach-Bliley Act, gdy bank lub inna instytucja finansowa dowie się o naruszeniu danych, powinna przeprowadzić dochodzenie w celu ustalenia prawdopodobieństwa, że ​​informacje zostały lub zostaną niewłaściwie wykorzystane. Jeśli bank stwierdzi, że nastąpiło niewłaściwe użycie lub jest to możliwe, powinien jak najszybciej powiadomić klientów, których to dotyczy.


Powiadomienie klienta może zostać opóźnione, jeśli organy ścigania stwierdzą, że powiadomienie zakłóci dochodzenie karne i przedstawi bankowi pisemne żądanie opóźnienia. Bank powinien powiadomić swoich klientów, gdy tylko powiadomienie nie będzie już kolidować z dochodzeniem. Powiadomienia nie można jednak opóźniać z powodu zawstydzenia lub niedogodności dla banku.


Zgodnie z wytycznymi OMB agencje federalne są zobowiązane do zgłaszania wszystkich naruszeń danych obejmujących dane osobowe w ciągu godziny od wykrycia / wykrycia. Jednak agencje mają swobodę w zgłaszaniu naruszeń danych poza agencją. Mogą opóźnić powiadomienie ze względu na potrzeby organów ścigania, bezpieczeństwa narodowego lub agencji.

California Dreaming

Na poziomie stanowym istnieje mozaika 46 przepisów stanowych (i Dystryktu Kolumbii) dotyczących powiadamiania o naruszeniu danych. Kalifornia wprowadziła pierwszą ustawę o powiadamianiu o naruszeniu danych w 2002 r. I została wykorzystana jako wzór dla wielu innych przepisów stanowych.


Zgodnie z prawem Kalifornii firmy muszą ujawnić klientom naruszenie danych „najszybciej jak to możliwe, bez nieuzasadnionej zwłoki” na piśmie. Jeśli osoba lub firma powiadamiająca może wykazać, że powiadomienie kosztowałoby więcej niż 250 000 USD lub wpłynęło na ponad 500 000 osób, wówczas można zastosować zawiadomienie zastępcze w postaci publikacji strony internetowej i powiadomienia dla głównych mediów na terenie całego kraju. Ustawa zwalnia z powiadomienia wszelkie naruszenia danych, w których dane osobowe zostały zaszyfrowane.


Jednak Kalifornia, w przeciwieństwie do wielu innych stanów, nie przewiduje kar za niezwłoczne powiadomienie konsumentów o naruszeniu danych. Krajowa Konferencja Ustawodawczych Państw prowadzi listę stanowych przepisów dotyczących powiadamiania o naruszeniu danych oraz linki do tych przepisów.

Europa lub popiersie

W Europie Unia Europejska zatwierdziła wymóg powiadomienia o naruszeniu danych w poprawce do dyrektywy o prywatności i łączności elektronicznej z 2009 r. Państwa członkowskie Unii Europejskiej miały czas do 25 maja 2011 r. Na wdrożenie tej zmiany do prawa krajowego.


Poprawka wymaga, aby „dostawcy publicznie dostępnych usług łączności elektronicznej” powiadamiali organy krajowe o naruszeniu danych osobowych, które mogłyby spowodować znaczne straty gospodarcze i szkody społeczne dla klientów, „jak tylko dowiedzą się o tym naruszeniu. Ponadto klienci, których to dotyczy, powinni zostać niezwłocznie powiadomieni o naruszeniu. Powiadomienie powinno zawierać informacje o środkach podejmowanych przez firmę, a także zalecane działania dla poszkodowanych klientów.


W 2012 r. Spodziewane są zmiany w unijnej dyrektywie o ochronie danych, w tym wymóg, aby wszystkie firmy, a nie tylko dostawcy usług łączności elektronicznej, powiadamiały organy krajowe i klientów, których dotyczą, w ciągu 24 godzin o naruszeniu danych osobowych.


Brytyjska ustawa o ochronie danych, która poprzedza unijną dyrektywę o prywatności i łączności elektronicznej, ma kompleksowy zestaw wymagań dla firm w zakresie ochrony danych, chociaż nie zawiera wymogu powiadomienia o naruszeniu danych.


Biuro brytyjskiego komisarza ds. Informacji (ICO), które jest odpowiedzialne za wdrożenie ustawy, stwierdziło, że firmy powinny zgłaszać ICO poważne naruszenia danych, zdefiniowane jako naruszenia, które mogą wyrządzić potencjalną szkodę osobom fizycznym. Agencja powiedziała, że ​​spodziewa się, że brytyjskie firmy powiadomią ją o naruszeniu niezaszyfrowanych danych osobowych u 1000 lub więcej osób. ICO oświadczyło, że nie jest obowiązkiem informować dotkniętych konsumentów, ale może zalecić, aby firma ujawniła naruszenie, „jeżeli leży to wyraźnie w interesie zainteresowanych osób lub istnieje silny argument interesu publicznego”.

Naruszenia danych i raportowanie

W odpowiedzi na bardzo nagłaśniane przypadki naruszenia danych i presję opinii publicznej amerykańscy i europejscy ustawodawcy i organy regulacyjne rozważają wymogi, aby wszystkie firmy zgłaszały naruszenia danych władzom krajowym i konsumentom, których to dotyczy. Jednak od stycznia 2012 r. Żaden z tych wysiłków nie doprowadził do kompleksowych przepisów i rozporządzeń dotyczących powiadamiania o naruszeniu danych ani w Stanach Zjednoczonych, ani w Unii Europejskiej.

Powiadomienie o naruszeniu danych: otoczenie prawne i regulacyjne

Przewodnik po jeziorze danych: co, dlaczego i jak z jeziora danych

Przewodnik po jeziorze danych: co, dlaczego i jak z jeziora danych

Wielkie żelazo, spotykaj duże zbiory danych: uwalnianie danych na komputerze mainframe za pomocą hadoopa i iskry

Wielkie żelazo, spotykaj duże zbiory danych: uwalnianie danych na komputerze mainframe za pomocą hadoopa i iskry

Chroń swoją bazę danych: wysoka dostępność dla danych o wysokim popycie

Chroń swoją bazę danych: wysoka dostępność dla danych o wysokim popycie

Wybór redaktorów

Wybór redaktorów

Wybór redaktorów

Wybór redaktorów

Wybór redaktorów

Wybór redaktorów

Popularne kategorie

© Copyright pl.theastrologypage.com, 2025 Kwiecień | O stronie | Łączność | Polityka prywatności.