Хабрахабр

Регулирование: В США обяжут компании уведомлять об утечке ПД в рамках 30 дней

На днях губернатор штата Колорадо подписал законопроект HB18-1128 под названием «Protections for Consumer Data Privacy». Он обяжет организации уведомлять клиентов и власти штата об «утечках» данных в рамках 30 дней с момента возникновения таких инцидентов. Под катом — наш краткий обзор этого законопроекта с учетом общей ситуации вокруг ввода GDPR.


/ Flickr / Chad Cooper / CC BY

Что требуют

30 дней — самый сжатый срок уведомления среди всех штатов. Он распространяется на все компании без исключения, но с одной поправкой. Компании могут не сообщать о «сливе», если это необходимо в интересах следствия [страница 9, пункт (с) в тексте законопроекта]. В таком случае органы правопорядка должны предварительно предупредить компанию. Как только ограничения по их просьбе будут сняты, отчет 30 дней на уведомление возобновляется.

Всё это нужно предоставить владельцам ПД следующим образом (в зависимости от имеющихся данных): Кроме того, закон обязывает компании предоставлять пострадавшим жителям Колорадо сведения о дате утечки, и о том, какие именно данные были скомпрометированы, а также контакты представителей компании для уточнения всей информации об инциденте.

  • отправить уведомление по почте;
  • сообщить по телефону;
  • отправить email.

При этом если затраты на предоставление этих данных и уведомление пострадавших превышает 250 тыс. долларов (или число пострадавших превышает 250 тыс. человек или компания не обладает необходимой информацией для использования таких способов связи с клиентами, можно уведомить владельцев ПД с помощью:

  • сообщения на странице сайта компании (если он есть);
  • региональных СМИ, которые вещают по всему штату.

Ситуация

Ужесточение регламентов для работы с ПД связано с рядом громких кейсов. Например, с кейсом Equifax. Согласно новому законопроекту, он подпадает под массовый слив и требует публичного уведомления пострадавших с помощью СМИ. Напомним, что в случае с Equifax, общественность узнала об утечке только через полтора месяца после случившегося.

Более того, организация признала, что о проблемах с ИБ было известно еще в марте того же года, но «закрыть» уязвимость так и не смогла (и умолчала об этом).

Трой Хант (Troy Hunt), создатель проекта «Have I Been Pwned», подсчитал, что жертвами утечки стали 26 млн пользователей площадки. Более свежий кейс — взлом сервиса для мероприятий Ticketfly, проданного Eventbrite за 200 млн долларов в 2017 году. В итоге сервис был недоступен несколько дней, и только спустя неделю после происшествия компания опубликовала сообщение с информацией об утечке, возобновив работу сервиса. В переписке с Motherboard предполагаемый киберпреступник заявил, что он предупреждал Ticketfly об уязвимостях и просил 1 биткоин за дополнительные сведения, но компания не проявила интерес.


/ Flickr / Korona Lacasse / CC BY

Например, для Equifax штраф составил бы 1,5 млрд долларов. Чтобы предотвратить подобные случаи сенаторы начали «продвигать» законопроект, который устанавливает штрафы для компаний, допустивших утечки ПД. Законопроект о штрафах пока не одобрили, но можно предположить, что новые сроки для уведомлений — шаг к его активному рассмотрению.

Где еще

Колорадо — не первый штат, в котором обновили требования к операторам персональных данных. Например, в 2017 году в Мэриленде ввели 45-дневный дедлайн для оповещения владельцев ПД. Это — средний по США срок для уведомления.

Здесь законопроект расширяет само понятие ПД (personally identifying information). С другой стороны, в Луизиане он составляет 60 дней (текст законопроекта, страница 3, пункт E). Например, теперь оно будет подразумевать в том числе биометрические данные и номер паспорта (страница 2 текста законопроекта).

Законопроект должен вступить в силу 1 января 2019 года и обяжет такие компании ежегодно отчитываться: предоставлять общую информацию о себе, раскрывать способы получения ПД и сведения о произошедших утечках и их масштабе. Если говорить о понятии оператора ПД, то уже в Вермонте его предложили распространить и на те компании, которые обрабатывают персональные данные без ведома их владельцев.

В статье 33 официального документа сказано, что уведомление надзорных органов должно включать: Кстати, европейские требования по уведомлению устанавливают более жесткие рамки — 72 часа с момента обнаружения утечки.

  • описание характера утечки с указанием примерного числа владельцев ПД;
  • описание возможных последствий и мер, предпринятых для их смягчения;
  • а также контактную информацию компании, допустившей утечку.

Что говорят

По словам одного из составителей законопроекта в Колорадо, штат выбрал оптимальный дедлайн, соответствующий потенциальным рискам и здравому смыслу. Однако этот законопроект вызвал возмущение компаний, которые ориентировались на HIPAA (Health Insurance Portability and Accountability Act) при работе, например с номером мед. страховки. Им придется сократить срок уведомления с 60 дней (как требует HIPAA) до 30 дней.

Однако мало кто сомневается в том, что со временем требования к операторам ПД станут только строже. Представители юридических фирм отмечают, что тридцатидневный период уведомления об утечках — требование, к которому организациям еще предстоит привыкнуть. Многие штаты могут перенять европейский подход и сократить дедлайн до десятков часов.

О чем еще мы пишем в корпоративном блоге 1cloud:

Показать больше

Похожие публикации

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»