Удача ирландцев? Комиссия по защите данных Ирландии публикует годовой отчет

As shared by the Commissioner for Data Protection, Helen Dixon, “The progress the DPC has made in 2020 provides a solid platform on which to build across our enforcement and complaint-handling functions in particular. The GDPR must be understood as a project for the now, but equally for the longer-term. The DPC intends to continue as a leader in its full implementation.”

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Примечание редактора: Комиссия по защите данных (DPC) является ирландским надзорным органом Общего регламента по защите данных (GDPR). Он также обладает функциями и полномочиями, связанными с другими важнейшими нормативными рамками, включая Ирландские правила электронной конфиденциальности (2011 год) и Директиву ЕС, известную как Директива о правоохранительных органах. Недавно Комиссар по защите данных Хелен Диксон запустила годовой отчет Ирландской комиссии по защите данных за 2020 год. В этом недавно опубликованном докладе (25 февраля 2021 года) DPC Ireland подробно описывает обширный спектр регуляторной работы, проделанной в ходе выполнения ими обязанностей в роли надзора и регулирования применения законов ЕС о защите данных и электронной конфиденциальности. В рамках этой детализации работы DPC делится информацией об уведомлениях о нарушениях DPC в течение 2020 года. Поскольку специалисты по обработке данных и юристам, работающие в экосистеме раскрытия электронной документации, стремятся понять влияние на рынок и возможности, обусловленные утечками данных, они могут извлечь выгоду из подробностей и точек данных, опубликованных в этом важном годовом отчете.

Годовой отчет DPC Ирландия 2020 года*

Выдержка о нарушениях (Глава 3)

Количество уведомлений о нарушениях в DPC оставалось высоким в 2020 году, но DPC как никогда убежден в значении обязательного требования об уведомлении в соответствии с GDPR. Это позволяет DPC получать представление о рисках, связанных с безопасностью и обработкой персональных данных, возникающих в организациях, в каждом конкретном случае, а также вмешиваться и направлять меры по снижению этих рисков, где это необходимо. В целом, ответы, которые мы получаем от организаций, поощряют DPC, учитывая, что большинство организаций хотят соблюдать и ценить вклад DPC.

Нарушения в соответствии с GDPR

В 2020 году DPC получил 6 783 уведомления о утечке данных в соответствии со статьей 33 GDPR, из которых 110 случаев (2%) были классифицированы как ненарушения, поскольку они не соответствовали определению нарушения личных данных, как указано в статье 4 (12) GDPR. В 2020 году DPC зарегистрировал в общей сложности 6 673 допустимых нарушения защиты данных, что на 10% (604) больше, чем в 2019 году.

Как и в другие годы, самая высокая категория нарушений данных, о которых было сообщено в соответствии с GDPR, была классифицирована как Несанкционированное раскрытие информации и составляла 86% от общего числа уведомлений о утечке данных, полученных в 2020 году. Большинство нарушений произошло в:

Частный сектор: 4 097

Государственный сектор: 2 559

Добровольный: 16

Благотворительность: 1

Всего: 6 673

В ДПК также наблюдалось расширение использования социальных инженерных и фишинговых атак для получения доступа к системам ИКТ контроллеров и процессоров. Хотя многие организации первоначально приняли эффективные меры безопасности ИКТ, очевидно, что организации не предпринимают упреждающих мер по мониторингу и пересмотру этих мер или для подготовки персонала для обеспечения того, чтобы они были осведомлены о меняющихся угрозах. В этих случаях мы по-прежнему рекомендуем организациям проводить периодические обзоры своих мер безопасности ИКТ и осуществлять комплексный план обучения сотрудников, поддерживаемый программами повышения квалификации и повышения осведомленности, с тем чтобы уменьшить риски, связанные с меняющимся ландшафтом угроз.

Уведомления о нарушении данных по категориям

Раскрытие информации (несанкционированное): 5 837

Взлом: 146

Вредоносные программы: 19

Фишинг - Включая социальную инженерию: 74

Программы-вымога/отказ в обслуживании: 32

Уязвимость при разработке программного обеспечения: 5

Утеряно или украдено устройство (зашифровано): 19

Утеряно или украдено устройство (незашифрованное) 29

Утеряна или украдена бумага: 275

Электронные отходы (персональные данные, присутствующие или устаревшие устройства: 1

Ненадлежащее удаление бумаги: 21

Неправильное конфигурация системы: 40

Неавторизованный доступ: 146

Непреднамеренное онлайн-публикация: 61

Другое: 78

Всего: 6 783

Нарушения электронной конфиденциальности

DPC получил в общей сложности 70 действительных уведомлений о нарушении данных в соответствии с Правилами электронной конфиденциальности (SI No. 336 от 2011 года), на долю которых приходилось чуть более 1% от общего числа действительных случаев, о которых было сообщено за год.

Нарушения светодиодов

DPC также получил 25 уведомлений о нарушениях в отношении светодиодов (Директива (ЕС) 2016/680), который был инкорпорирован в ирландское законодательство некоторыми частями Закона о защите данных 2018 года.

Оценка нарушения DPC

После того, как в DPC подается уведомление о нарушении, DPC оценивает его с учетом многочисленных аспектов нарушения и рисков, которые оно представляет. Первым из них является характер нарушения, в том числе о том, было ли оно намеренно или случайно вызвано, были ли данные эксфильтрацией или недоступными, а также способы технологии и организации. История нарушений определенного типа может указывать на системную проблему, затрагивающую отдельного контроллера данных, конкретного местоположения или целого сектора экономики. Характеристики соответствующих персональных данных занимают центральное место в оценке DPC. К ним относятся типы, формат и чувствительность персональных данных, количество затронутых лиц и записей, а также возможность чтения или распространения данных. КПК рассмотрит вопрос о том, имеют ли место такие аспекты, как профилирование, автоматизированное принятие решений, мониторинг или отслеживание.

Аналогичным образом, категоризация субъектов данных, например, дети они или уязвимые лица, и характеристики контроллера и/или обработчика данных, такие как уставная ответственность или обработка других типов персональных данных, могут иметь весьма важное значение. Учитывается объем субъектов данных и местонахождение этих субъектов данных.

Другими факторами, которые необходимо учитывать, являются потенциальный вред субъектам данных в результате раскрытия, неправильного использования или потери персональных данных, затронутых нарушением. Контролеры данных часто упускают из виду этот аспект оценки рисков. Вред может варьироваться от временных неудобств до очень серьезных рисков, таких как кража личных данных, финансовые потери и неправильный диагноз состояния здоровья или ущерб репутации. ДПК рассмотрит вопрос о том, каково воздействие на затрагиваемых лиц, включая тяжесть, сферу охвата и контекст деятельности лиц.

Наконец, DPC оценивает смягчающие факторы, такие как наличие резервных копий, устранение уязвимостей и извлечение данных или предотвращение дальнейшего раскрытия. Часто контроллеры данных не реализуют простые меры, такие как шифрование информации, передаваемой по электронной почте, гарантируя, что все меры ИТ-безопасности приняты, но также регулярно обновляются. Эти факторы учитываются при оценке.

Если факты не будут полностью известны или остаются неясными после первоначальной оценки DPC нарушения, они будут продолжать взаимодействовать с контролером до тех пор, пока на все вопросы не будут даны ответы, к удовлетворению DPC. В некоторых случаях контроллеру или процессору может быть предложено переоценить причины и последствия нарушения и сообщить о своих выводах. Нарушения, связанные со сложными ИТ-вопросами, могут потребовать оценки и анализа техническими специалистами DPC. В тех случаях, когда контролер либо подготовил, либо заказал технический отчет или отчет о расследовании нарушения, запрашивается копия этого документа.

До завершения своего расследования КПК может направлять и контролировать прогресс — на скользящей основе — мер, принимаемых для устранения или смягчения последствий нарушения. Они могут включать информирование субъектов данных о нарушении в соответствии со статьей 34 GDPR или осуществление технических или организационных мер по устранению уязвимостей.

Основываясь на своей оценке и действиях контролера по предотвращению или смягчению дальнейших аналогичных инцидентов, DPC может завершить свое расследование на этом этапе. Если DPC не удовлетворен смягчающими действиями или ответами от контролера, он может обострить этот вопрос для дальнейших расследований/принудительных действий.

Просмотр полного отчета (PDF)

Годовой отчет DPC 2020 (на английском языке)

Ознакомьтесь с первоначальным сообщением на веб-сайте Комиссии по защите данных (DPC Ireland).

* Информационная записка, защищенная авторским правом, разделенная с разрешения в соответствии с повторным использованием информации публичного раздела

Дополнительное чтение

Комиссия по защите данных (DPC) Ирландия

Ирландское обновление: DPC Ireland публикует отчет о регулирующей деятельности GDPR (2018-2020)

Источник: ComplexDiscovery

Совместное консультирование по кибербезопасности от CISA, ФБР и АНБ по программе-вымогатель BlackMatter

This Joint Cybersecurity Advisory from the CISA, FBI, and NSA provides...

Хранение секретов? Тенденции использования программ-вымогателей в данных Закона о банковской тайне в период с января 2021 г. по июнь 2021 г.

According to a recently published report, the U.S. Treasury's Financial Crimes...

Географическое описание: атаки программ-вымогателей в США в период с 2018 года по сегодняшний день

Published by Comparitech, a pro-consumer website providing information, tools, reviews, and...

Рекомендации по снижению риска уязвимостей в программах: NIST Secure Software Development Framework

This draft document from NIST on a proposed secure software development...

Consilio завершила приобретение бизнес-подразделений по юридическому консалтингу и раскрытию электронных данных у специального юрисконсульта Adecco

According to Andy Macdonald, CEO of Consilio, “Consilio’s acquisition of D4...

Cellebrite получит цифровые подсказки

According to Cellebrite CEO Yossi Carmil, “We are pleased to announce...

iConect приобретает кодовую базу искусственного интеллекта Ayfie Inspector

According to Ian Campbell, CEO of iCONECT, “Direct access to the...

Слияния, поглощения и инвестиции в eDiscovery в третьем квартале 2021 года

From Ipro and Disco to Nuix and Lighthouse, the following findings,...

Новая эра в раскрытии электронных данных? Обрамление роста рынка через призму шести эпох

There are many excellent resources for considering chronological and historiographical approaches...

Mashup на рынке раскрытия электронной документации: 2020-2025 годы Обзор программного обеспечения и услуг по всему миру

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

Сброс базовой линии? Корректировка размера рынка раскрытия электронных данных на 2020 год

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Домой или уходом? Соображения по вопросам размера и ценообразования на рынке коллекции электронных данных Discovery

One of the key home (onsite) or away (remote) decisions that...

Пять отличных прочтений о кибербезопасности, данных и раскрытии юридических данных за сентябрь 2021 года

From countering ransomware to predictive coding and packaged services, the September...

Пять отличных чтений о кибербезопасности, данных и юридических раскрытиях за август 2021 года

From the interplay of digital forensics in eDiscovery to collecting online...

Пять отличных чтений о кибербезопасности, данных и юридических раскрытиях за июль 2021 года

From considerations for cyber insurance and malware to eDiscovery business confidence...

Пять отличных чтений о раскрытии электронных данных за июнь 2021 года

From remediating cyberattacks to eDiscovery pricing, the June 2021 edition of...

Время сбора урожая? Операционные показатели раскрытия электронных данных осенью 2021 года

In the fall of 2021, 67 eDiscovery Business Confidence Survey participants...

Несезонно жарко? Результаты опроса доверия бизнеса по раскрытию электронных данных на осень 2021 г.

Since January 2016, 2,595 individual responses to twenty-four quarterly eDiscovery Business...

Еще больше хранителей? Исследование технологий и протоколов предиктивного кодирования — результаты осени 2021 года

From the most prevalent predictive coding platforms to the least commonly...

Светящиеся ожидания? Восемнадцать наблюдений о доверии бизнеса eDiscovery летом 2021 года

In the summer of 2021, 63.3% of survey respondents felt that...