Ст. 34: Уведомление субъекта данных об утечке

Подробное описание

Статья 34 GDPR обязывает контроллера незамедлительно уведомить субъектов данных о нарушении безопасности персональных данных (data breach), если это нарушение создаёт высокий риск для прав и свобод физических лиц. В отличие от статьи 33 (уведомление надзорного органа в течение 72 часов), статья 34 фокусируется на защите интересов самих субъектов: им должна быть предоставлена понятная информация о характере нарушения, вероятных последствиях, принятых мерах и контактах для связи (включая DPO). Критерии высокого риска включают: возможность дискриминации, кражи личности, финансовых потерь, раскрытия медицинских или биометрических данных, утраты контроля над персональными данными. Уведомление может быть отложено только в трёх случаях: данные защищены надёжным шифрованием, приняты меры полностью устранившие риск, или прямое уведомление потребует несоразмерных усилий (тогда необходимо публичное объявление или аналогичная мера).

Практические шаги внедрения

1. 1

   Разработайте процедуру оценки риска для субъектов данных после каждого breach: используйте WP29 Guidelines on Personal data breach notification для определения критериев высокого риска (дискриминация, кража личности, финансовые потери, раскрытие специальных категорий данных)

2. 2

   Создайте шаблон уведомления субъектов на понятном языке с обязательными элементами: характер нарушения, категории и примерное количество затронутых данных, контакты DPO или точки связи, вероятные последствия, меры по минимизации ущерба

3. 3

   Настройте каналы массового уведомления с автоматической верификацией доставки: email с персональными ссылками (не общими), SMS для критичных случаев, личный кабинет на сайте, возможность запроса статуса по телефону горячей линии

4. 4

   Внедрите реестр исключений из обязанности уведомлять: breach данных защищённых end-to-end шифрованием (ключ не скомпрометирован), случаи где последующие меры устранили высокий риск до уведомления, ситуации несоразмерных усилий с обоснованием публичного уведомления

5. 5

   Согласуйте с надзорным органом форму публичного уведомления для случаев несоразмерных усилий: пресс-релиз на главной странице сайта, публикация в СМИ с широкой аудиторией, баннер в мобильном приложении — с обязательным логированием охвата и доступности

6. 6

   Обучите команду реагирования на инциденты критериям статьи 34: порог высокого риска выше чем для ст. 33 (не каждый breach требует уведомления субъектов), срок без неоправданной задержки (обычно одновременно с уведомлением DPA или сразу после), обязательная консультация с DPO перед отправкой

7. 7

   Настройте мониторинг эффективности уведомлений: процент прочитанных сообщений, количество обращений в поддержку после уведомления, время от breach до уведомления (цель менее 72 часов для критичных), обратная связь от субъектов для улучшения понятности текста

Типичные нарушения

• Уведомление субъектов о breach с низким или средним риском без достаточного обоснования: создание паники и информационного шума вместо фокуса на действительно опасных утечках (статья 34 требует высокого риска, не любого breach)

• Использование технического жаргона и юридических формулировок в уведомлениях: субъект не может понять характер угрозы и принять защитные меры (требование понятного языка критично для реализации прав)

• Задержка уведомления субъектов на недели после уведомления надзорного органа: субъект узнаёт об утечке из СМИ или от мошенников раньше чем от контроллера (без неоправданной задержки означает обычно одновременно со ст. 33)

• Отказ от уведомления со ссылкой на шифрование данных при утечке ключей или слабом алгоритме: исключение применимо только к надёжному шифрованию где ключ не скомпрометирован (AES-256, ключи хранятся отдельно)

• Публичное уведомление вместо прямого без документированного обоснования несоразмерности усилий: наличие email-адресов или номеров телефонов субъектов делает прямое уведомление пропорциональным (баннер на сайте не заменяет персональное сообщение)

Почему это важно

Проверяемые категории

Связанные контроли