Съдържание:
В Съединените щати съществуват различни федерални и държавни закони за уведомяване за нарушаване на данните, въпреки че няма цялостен федерален закон. През май 2011 г. администрацията на Обама представи на Конгреса цялостно предложение за киберсигурност, което включва федерално изискване за уведомяване за нарушаване на данните. Това би могло значително да подобри киберсигурността, но от януари 2012 г. не е прието законодателство за уведомяване за нарушаване на данните на федералните данни. Тук разглеждаме сигурността на данните и законодателството, което се създава за справяне с нарушенията. (За четене на фона вижте Основните принципи на ИТ сигурността.)
Прави федерално дело
На федерално ниво в САЩ има закони и насоки, изискващи уведомяване за нарушения за конкретни видове данни: Законът за здравна застраховка и преносимост (HIPAA) и Законът за здравната информационна технология за икономическо и клинично здраве (HITECH) за информация за здравеопазването, Закон за Gramm-Leach-Bliley за финансова информация и ръководство на Службата за управление и бюджет (OMB) за лична информация, държана от федералните агенции.
Според Закона HITECH доставчиците на здравни услуги, обхванати от HIPAA, трябва незабавно да уведомяват пациентите, когато тяхната здравна информация е нарушена. Министерството на здравеопазването и човешките услуги (HHS) и медиите трябва да бъдат уведомявани в случаите, когато нарушенията засягат повече от 500 лица. Продавачите на лична здравна информация имат подобни изисквания за уведомяване за нарушения, но трябва да информират Федералната търговска комисия, а не HHS.
Според указания, издадени от федералните банкови регулатори съгласно Закона за Грам-Лийч-Блили, когато банка или друга финансова институция стане наясно с нарушение на данните, тя трябва да проведе разследване, за да установи вероятността информацията да е била или да бъде злоупотребена. Ако банката установи, че злоупотребата е настъпила или е разумно възможна, тя трябва да уведоми засегнатите клиенти възможно най-скоро.
Известието на клиента може да бъде забавено, ако органите на реда установят, че уведомлението ще попречи на наказателното разследване и предостави на банката писмено искане за забавянето. Банката трябва да уведоми клиентите си веднага щом уведомяването вече няма да пречи на разследването. Уведомяването обаче не може да бъде забавено поради неудобство или неудобство за банката.
Според насоките на OMB федералните агенции са длъжни да докладват за всички нарушения на данните, включващи лично идентифицираща се информация, в рамките на един час от откриването / откриването. Въпреки това агенциите имат право на преценка да докладват нарушения на данните извън агенцията. Те могат да забавят уведомяването за нуждите на правоприлагането, националната сигурност или агенцията.
Калифорнийска мечта
На държавно ниво има набор от 46 държавни закона (и окръг Колумбия) относно уведомяването за нарушаване на данните. Калифорния прие първия закон за уведомяване за нарушаване на данните през 2002 г. и той се използва като модел за много други закони на държавата.
Съгласно закона на Калифорния компаниите трябва да разкрият нарушение на данните на клиентите „възможно най-бързо, без необосновано забавяне“ в писмена форма. Ако нотифициращото лице или бизнес може да докаже, че уведомяването ще струва повече от 250 000 долара или засяга над 500 000 души, тогава може да се използва заместващо известие под формата на публикуване на уебсайт и уведомяване на големи държавни медии. Уставът освобождава от уведомяване всяко нарушение на данните, при което личната информация е била шифрована.
Въпреки това Калифорния, за разлика от много други щати, не включва санкции за неуспешно уведомяване на потребителите за нарушение на данните. Националната конференция на държавните законодателства поддържа списък на законите за уведомяване за нарушаване на данните на държавата и връзки към тези закони.
Европа или бюст
В Европа Европейският съюз одобри изискване за уведомяване за нарушение на данните в изменение от 2009 г. на Директивата за електронната поверителност. Държавите-членки на Европейския съюз трябваха до 25 май 2011 г. да внесат изменението в националното законодателство.
Изменението изисква „доставчиците на публично достъпни електронни съобщителни услуги“ да уведомяват националните органи за нарушение на личната информация, което може да доведе до значителна икономическа загуба и социална вреда за клиентите „веднага щом„ узнаят за нарушението. Също така засегнатите клиенти трябва да бъдат уведомени за нарушението „без забавяне“. Уведомлението трябва да включва информация за предприетите от компанията мерки, както и препоръчителни действия за засегнатите клиенти.
Промени в Директивата за защита на данните на ЕС се очакват през 2012 г., включително изискване всички компании, а не само доставчици на електронни съобщителни услуги, да уведомят националните органи и засегнатите клиенти в рамките на 24 часа след нарушение на личната информация.
Законът за защита на данните в Обединеното кралство, който предхожда директивата за защита на личните данни на ЕС, има изчерпателен набор от изисквания за компаниите за защита на данните, въпреки че не съдържа изискване за уведомяване за нарушаване на данните.
Службата на комисаря за информация на Обединеното кралство (ICO), която отговаря за прилагането на акта, заяви, че компаниите трябва да докладват на ICO сериозни нарушения на данните, определени като нарушения, които могат да причинят потенциална вреда на физическите лица. Агенцията заяви, че ще очаква британските компании да я уведомяват за нарушения на некриптирана лична информация на 1000 или повече лица. ICO заяви, че не е негова отговорност да информира засегнатите потребители, но може да препоръча на компанията да оповести нарушението „когато това е ясно в интерес на засегнатите лица или има силен аргумент от обществен интерес да го направи“.
Нарушения на данни и отчитане
В отговор на нарушените публично нарушения на данните и публичния натиск американските и европейските законодатели и регулатори обмислят изискванията всички компании да докладват за нарушенията на данните на националните органи и да засегнат потребителите. От януари 2012 г. обаче нито едно от тези усилия не доведе до всеобхватни закони и разпоредби за уведомяване за нарушаване на данните нито в Съединените щати, нито в Европейския съюз.
