Satura rādītājs:
Amerikas Savienotajās Valstīs ir dažādi federālie un štatu paziņojumi par datu pārkāpumiem, lai gan nav visaptveroša federālā likuma. 2011. gada maijā Obamas administrācija iesniedza Kongresam visaptverošu kiberdrošības priekšlikumu, kurā ietverta federāla prasība paziņot par datu pārkāpumiem. Tas varētu ievērojami uzlabot kiberdrošību, taču no 2012. gada janvāra nebija pieņemti federālie tiesību akti par datu pārkāpumiem. Šeit mēs apskatīsim datu drošību un tiesību aktus, kas tiek izstrādāti, lai novērstu pārkāpumus. (Lai iegūtu papildinformāciju, skatiet IT drošības pamatprincipus.)
Federālās lietas sastādīšana
ASV federālajā līmenī ir likumi un vadlīnijas, kas pieprasa paziņošanu par pārkāpumiem attiecībā uz konkrētiem datu veidiem: Veselības apdrošināšanas pārnesamības un atbildības (HIPAA) likumu un Veselības informācijas tehnoloģijas ekonomiskās un klīniskās veselības (HITECH) likumu par veselības aprūpes informāciju, Gramm-Leach-Bliley Likums par finanšu informāciju un Vadības un budžeta biroja (OMB) vadlīnijas par personisko informāciju, kas ir federālo aģentūru rīcībā.
Saskaņā ar HITECH likumu veselības aprūpes pakalpojumu sniedzējiem, uz kuriem attiecas HIPAA, "nekavējoties" jāpaziņo pacientiem, kad viņu veselības informācija ir pārkāpta. Gadījumos, kad pārkāpumi skar vairāk nekā 500 personas, par to jāpaziņo Veselības un cilvēku pakalpojumu departamentam (HHS) un plašsaziņas līdzekļiem. Personīgās veselības informācijas pārdevējiem ir līdzīgas paziņošanas prasības par pārkāpumiem, taču viņiem par to jāinformē Federālā tirdzniecības komisija, nevis HHS.
Saskaņā ar federālo banku regulatoru norādījumiem, kas izdoti saskaņā ar Gramm-Leach-Bliley likumu, kad banka vai cita finanšu iestāde uzzina par datu pārkāpumu, tai būtu jāveic izmeklēšana, lai noteiktu iespējamību, ka informācija ir vai tiks ļaunprātīgi izmantota. Ja banka konstatē, ka ir notikusi ļaunprātīga izmantošana vai tā ir pamatoti iespējama, tai pēc iespējas ātrāk jāpaziņo ietekmētajiem klientiem.
Klienta paziņojums var aizkavēties, ja tiesībaizsardzības iestādes konstatē, ka paziņojums traucēs kriminālizmeklēšanu, un iesniedz bankai rakstisku kavēšanās pieprasījumu. Bankai jāpaziņo saviem klientiem, tiklīdz paziņojums vairs netraucēs izmeklēšanu. Tomēr paziņošanu nevar aizkavēt samulsuma vai neērtību dēļ bankai.
Saskaņā ar OMB norādījumiem federālajām aģentūrām vienas stundas laikā pēc atklāšanas / atklāšanas ir jāziņo par visiem datu pārkāpumiem, kas saistīti ar personiski identificējamu informāciju. Tomēr aģentūras var brīvi ziņot par datu pārkāpumiem ārpus aģentūras. Viņi var aizkavēt paziņošanu tiesībaizsardzības, valsts drošības vai aģentūru vajadzībām.
Kalifornijas sapņi
Valsts līmenī ir savākti 46 štatu likumi (un Kolumbijas apgabals) par paziņojumu par datu pārkāpumiem. Pirmo likumu par datu pārkāpumu paziņošanu Kalifornijā pieņēma 2002. gadā, un tas tika izmantots kā paraugs daudziem citiem štatu likumiem.
Saskaņā ar Kalifornijas likumiem uzņēmumiem ir jāatklāj datu pārkāpums klientiem "cik drīz vien iespējams, bez nepamatotas kavēšanās" rakstiski. Ja paziņojošā persona vai uzņēmums var pierādīt, ka paziņošana maksās vairāk nekā USD 250 000 vai skar vairāk nekā 500 000 cilvēku, tad var izmantot aizstājēju paziņojumu tīmekļa vietnes veidā un paziņojumu galvenajiem valsts mēroga plašsaziņas līdzekļiem. Likums atbrīvo no paziņošanas par visiem datu pārkāpumiem, kuros personiskā informācija ir šifrēta.
Tomēr Kalifornijā atšķirībā no daudziem citiem štatiem nav iekļauti sodi par nespēju nekavējoties informēt patērētājus par datu pārkāpumiem. Valsts likumdevēju konference uztur valsts likumu pārkāpumu paziņošanas likumu sarakstu un saites uz šiem likumiem.
Eiropa vai Krūtis
Eiropā Eiropas Savienība apstiprināja prasību par paziņošanu par datu pārkāpumiem ar grozījumiem savā E-privātuma direktīvā 2009. gadā. Eiropas Savienības dalībvalstīm līdz 2011. gada 25. maijam bija jāievieš grozījums nacionālajos likumos.
Grozījumā noteikts, ka "publiski pieejamu elektronisko komunikāciju pakalpojumu sniedzējiem" ir jāziņo valsts iestādēm par personiskās informācijas pārkāpumiem, kas var radīt būtiskus ekonomiskus zaudējumus un radīt sociālu kaitējumu klientiem ", tiklīdz" viņi uzzina par pārkāpumu. Arī skartie klienti būtu nekavējoties jāinformē par pārkāpumu. Paziņojumā jāiekļauj informācija par uzņēmuma veiktajiem pasākumiem, kā arī ieteiktās darbības ietekmētajiem klientiem.
ES datu aizsardzības direktīvā gaidāmas izmaiņas 2012. gadā, iekļaujot prasību, ka visi uzņēmumi, ne tikai elektronisko sakaru pakalpojumu sniedzēji, 24 stundu laikā paziņo valsts iestādēm un ietekmētajiem klientiem par personiskās informācijas pārkāpumu.
Apvienotās Karalistes Datu aizsardzības likumā, kas ir pirms ES E-privātuma direktīvas, ir noteikts visaptverošs prasību kopums uzņēmumiem datu aizsardzībai, lai gan tajā nav ietverta prasība paziņot par datu pārkāpumiem.
Apvienotās Karalistes Informācijas komisāra birojs (ICO), kas atbild par akta ieviešanu, ir teicis, ka uzņēmumiem ICO ir jāziņo par nopietniem datu pārkāpumiem, kas definēti kā pārkāpumi, kas var radīt potenciālu kaitējumu indivīdiem. Aģentūra paziņoja, ka sagaida, ka Apvienotās Karalistes uzņēmumi to paziņos par nešifrētas personiskās informācijas pārkāpumiem par 1000 vai vairāk personām. ICO sacīja, ka tā nav atbildīgā informēšana par ietekmētajiem patērētājiem, bet tā var ieteikt uzņēmumam publiskot pārkāpumu ", ja tas skaidri ir iesaistīto personu interesēs vai ja ir spēcīgs sabiedrības interešu arguments to darīt".
Datu pārkāpumi un ziņošana
Reaģējot uz ļoti publiskotajiem datu pārkāpumiem un sabiedrības spiedienu, Amerikas un Eiropas likumdevēji un regulatori apsver prasības, lai visi uzņēmumi ziņotu par datu pārkāpumiem valstu iestādēm un ietekmētajiem patērētājiem. Tomēr no 2012. gada janvāra neviena no šīm darbībām neveicināja visaptverošus datu pārkāpumu paziņošanas likumus un noteikumus ne Amerikas Savienotajās Valstīs, ne Eiropas Savienībā.
