Obsah:
- Podanie federálneho prípadu
- Kalifornia Kalifornia
- Európa alebo busta
- Porušenie údajov a podávanie správ
V USA existujú rôzne federálne a štátne zákony týkajúce sa oznamovania porušenia údajov, hoci neexistuje federálny komplexný zákon. V máji 2011 vláda Obamu predložila Kongresu komplexný návrh v oblasti kybernetickej bezpečnosti, ktorý obsahuje požiadavku federálneho oznámenia o porušení ochrany údajov. Mohlo by to výrazne zlepšiť kybernetickú bezpečnosť, ale od januára 2012 neboli prijaté žiadne federálne právne predpisy o oznamovaní porušenia predpisov. Tu sa pozrieme na bezpečnosť údajov a právne predpisy, ktoré sa pripravujú na riešenie porušení. (Základné informácie nájdete v časti Základné princípy bezpečnosti IT.)
Podanie federálneho prípadu
Na federálnej úrovni USA existujú zákony a usmernenia, ktoré si vyžadujú oznamovanie porušení pre konkrétne typy údajov: zákon o zdravotnom poistení v oblasti prenosnosti a zodpovednosti (HIPAA) a zákon o zdravotných informáciách pre hospodárske a klinické zdravie (HITECH), pokiaľ ide o informácie o zdravotnej starostlivosti, Zákon o Gramm-Leach-Bliley pre finančné informácie a usmernenie Úradu pre riadenie a rozpočet (OMB) týkajúce sa osobných údajov federálnych agentúr.
Podľa zákona HITECH musia poskytovatelia zdravotnej starostlivosti, na ktorých sa vzťahuje HIPAA, informovať pacientov „bezodkladne“ o porušení ich zdravotných informácií. Ministerstvo zdravotníctva a sociálnych služieb (HHS) a médiá sa musia informovať v prípadoch, keď porušenia postihujú viac ako 500 jednotlivcov. Dodávatelia osobných zdravotných informácií majú podobné požiadavky na oznamovanie porušenia, musia však informovať Federálnu obchodnú komisiu, a nie HHS.
Podľa pokynov vydaných federálnymi regulačnými orgánmi v bankovníctve podľa zákona Gramm-Leach-Bliley Act, keď sa banka alebo iná finančná inštitúcia dozvie o porušení údajov, mala by vykonať vyšetrovanie s cieľom zistiť pravdepodobnosť, že tieto informácie boli alebo budú zneužité. Ak banka zistí, že došlo k zneužitiu alebo je to možné, mala by o tom čo najskôr informovať postihnutých zákazníkov.
Oznámenie zákazníka sa môže oneskoriť, ak orgány činné v trestnom konaní určia, že oznámenie bude v rozpore s trestným vyšetrovaním a poskytne banke písomnú žiadosť o oneskorenie. Banka by mala informovať svojich klientov, len čo oznámenie prestane zasahovať do vyšetrovania. Oznámenie však nemožno oneskoriť z dôvodu rozpakov alebo ťažkostí s bankou.
Podľa usmernení OMB sa od federálnych agentúr vyžaduje, aby do jednej hodiny od zistenia / zistenia hlásili všetky porušenia údajov zahŕňajúce informácie umožňujúce identifikáciu osôb. Agentúry však majú právo nahlásiť porušenie údajov mimo agentúry. Môžu oneskoriť notifikáciu pre potreby orgánov činných v trestnom konaní, národnej bezpečnosti alebo agentúry.
Kalifornia Kalifornia
Na úrovni štátu existuje zmes 46 štátnych zákonov (a okresu Columbia) v oblasti oznamovania porušenia údajov. Kalifornia prijala prvý zákon o oznamovaní porušenia údajov v roku 2002 a používa sa ako vzor pre mnoho ďalších zákonov štátu.
Podľa kalifornského zákona musia spoločnosti oznámiť zákazníkovi porušenie údajov „čo najskôr, bez zbytočného odkladu“ písomnou formou. Ak oznamujúca osoba alebo podnik môže preukázať, že oznámenie by stálo viac ako 250 000 dolárov alebo ovplyvnilo viac ako 500 000 ľudí, potom by sa mohlo použiť náhradné oznámenie vo forme zverejnenia webovej stránky a oznámenia hlavným štátnym médiám. Štatút je vyňatý z oznamovania akéhokoľvek porušenia ochrany údajov, pri ktorom boli osobné informácie šifrované.
Kalifornia, na rozdiel od mnohých iných štátov, však nezahŕňa pokuty za to, že neodkladne informovala spotrebiteľov o porušení údajov. Národná konferencia právnych predpisov štátu vedie zoznam zákonov o oznamovaní porušenia štátnych údajov a odkazy na tieto zákony.
Európa alebo busta
V Európe schválila Európska únia požiadavku na oznámenie porušenia ochrany údajov v zmene a doplnení smernice o elektronickom súkromí z roku 2009. Členské štáty Európskej únie museli do 25. mája 2011 vykonať zmenu a doplnenie do vnútroštátneho práva.
Tento pozmeňujúci a doplňujúci návrh vyžaduje, aby „poskytovatelia verejne dostupných elektronických komunikačných služieb“ informovali vnútroštátne orgány o porušení osobných údajov, ktoré by mohli mať za následok značnú ekonomickú stratu a sociálne škody pre zákazníkov, akonáhle „sa o tomto porušení dozvie. Dotknutým zákazníkom by malo byť porušenie oznámené „bezodkladne“. Oznámenie by malo obsahovať informácie o opatreniach, ktoré spoločnosť prijíma, ako aj o odporúčaných opatreniach pre dotknutých zákazníkov.
V roku 2012 sa očakávajú zmeny smernice EÚ o ochrane údajov vrátane požiadavky, aby všetky spoločnosti, nielen poskytovatelia elektronických komunikačných služieb, informovali vnútroštátne orgány a dotknutých zákazníkov do 24 hodín o porušení osobných údajov.
Zákon o ochrane údajov vo Veľkej Británii, ktorý predchádza smernici EÚ o súkromí a elektronických komunikáciách, má pre spoločnosti ochranu údajov komplexným súborom požiadaviek, hoci neobsahuje požiadavku na oznámenie o porušení ochrany údajov.
Úrad informačného komisára Spojeného kráľovstva (ICO), ktorý je zodpovedný za vykonávanie aktu, uviedol, že spoločnosti by mali ICO oznamovať závažné porušenia ochrany údajov definované ako porušenia, ktoré by mohli jednotlivcom spôsobiť potenciálne škody. Agentúra uviedla, že očakáva, že spoločnosti v Spojenom kráľovstve budú informovať o porušení nezašifrovaných osobných údajov o 1 000 alebo viacerých osobách. ICO uviedla, že nie je povinnosťou informovať postihnutých spotrebiteľov, ale môže odporučiť, aby spoločnosť porušenie zverejnila „ak je to jednoznačne v záujme dotknutých jednotlivcov alebo ak existuje silný argument verejného záujmu, aby tak urobil“.
Porušenie údajov a podávanie správ
Americkí a európski zákonodarcovia a regulačné orgány v reakcii na vysoko zverejňované porušenia údajov a tlak verejnosti zvažujú požiadavky, aby všetky spoločnosti oznamovali porušenia údajov vnútroštátnym orgánom a dotknutým spotrebiteľom. Od januára 2012 však žiadne z týchto snáh neviedlo k komplexným zákonom a nariadeniam o oznamovaní porušenia údajov v Spojených štátoch alebo Európskej únii.