DPO On Demand

EDPB objavil osnutek smernic o kršitvi varnosti podatkov

EDPB je na svoji seji 14.1.2021 sprejel osnutek smernic o primerih v zvezi z obveščanjem o kršitvah varnosti podatkov.

Te smernice dopolnjujejo smernice Delovne skupine WP 29 o obveščanju o kršitvah varnosti podatkov – dodati želijo izkušnje iz prakse. Namen smernic je pomagati upravljavcem podatkov pri odločanju, kako ravnati s kršitvami varnosti podatkov in katere dejavnike je treba upoštevati pri oceni tveganja. Smernice vsebujejo seznam primerov obveščanja o kršitvah varnosti podatkov, za katere nacionalni nadzorni organi menijo, da so najpogostejši, na primer napadi ransomware; napadi na eksfiltracijo podatkov; ter izguba ali kraja naprave in papirnatih dokumentov.

V posameznih kategorijah smernice predstavljajo najbolj tipične dobre ali slabe prakse, nasvete o tem, kako je treba prepoznati in oceniti tveganja, poudarjeni so dejavnii, ki jih je treba še posebej upoštevati, in kdaj in kako mora upravljavec obvestiti nadzorni organ in / ali obvesti posameznike, na katere se nanašajo osebni podatki. Smernice so dane v javno posvetovanje za obdobje šestih tednov. Rok teče od 19.1.2021 dalje.

Primeri vključujejo:

  • Ransomware z ustrezno varnostno kopijo, z in brez eksfiltracije,
  • Eksfiltracija podatkov s spletne strani o prošnjah za delo,
  • Eksfiltracija s spletnega mesta zgoščenega gesla (hash password),
  • Eksfiltracija poslovnih podatkov s strani nekdanjega zaposlenega,
  • Nenamerno posredovanje podatkov zaupanja vredni tretji osebi,
  • ukradeno gradivo, ki vsebuje nešifrirane osebne podatke.

Definicija: Eksfiltracija oz. razširjanje podatkov je oblika varnostne kršitve, do katere pride, ko se podatki posameznika ali podjetja kopirajo, prenesejo ali pridobijo iz računalnika ali strežnika brez dovoljenja.

Osnutek smernic

Objavil/a

Info hiša