Məlumatların pozulması halında necə davranmalı?

Əvvəla, panikaya düşməyin və həmişə dəsmalınızın yanınızda olduğundan əmin olun.

Nəhayət baş verdi. Sisteminizdə qüsur var idi və kimsə bundan istifadə edərək, jarqonla desək, a deyilən şeyi həyata keçirdi məlumatların pozulması. Şəxsi məlumatların pozulması. Narahat olmayın, bu qeyri-adi bir hadisə deyil. Ən şanslılar ildə bir dəfədən az bu ehtimalla qarşılaşırlar, lakin internet kimi sürətlə inkişaf edən bir dünyada bu ehtimal daha tez-tez baş verə bilər. Panik etməməyə çalışsanız da, biz sizi əsas qaydaya əməl etməyi tövsiyə edirik: pozuntunun öhdəsindən gəlmək üçün 16/679 Avropa Qaydasının göstərişlərinə əməl edin (GDPR) məlumatların pozulması baş verərsə nə etməli olduğuna dair təlimat təklif edir.

Məlumat pozuntusu nədir?

Şəxsi məlumatların pozulmasıdır 6 növ var və bunların hər biri könüllü və ya təsadüfi ola bilər niyə baş verdiyinə görə:

• İcazəsiz giriş. Kiminsə müəyyən məlumatlara çıxışı ola bilməzdi, lakin onlar var idi. Əgər bu səhv olarsa, başqa bir şəxsə deyil, vacib bir sənəd göndərmiş ola bilərsiniz. Bu qəza idi, amma yenə də məlumatların pozulmasıdır. Ancaq kiminsə məlumatlarına icazəsiz daxil olmağınız halında, bu hadisə ola bilər casusluq.
• İcazəsiz surət. Kimsə onlara aid olmayan bəzi məlumatları götürdü və özləri üçün kopyaladı. Bir iş yoldaşı iş sənədini daha yaxşı tərtib etmək üçün sahib olmamalı olduğu bir sənədi çap etməyə qərar verərsə, bu, qəza ola bilər. Daha az aydın məqsədlər üçün könüllü surət çıxarma halında, ola bilər oğurluq.
• Gözlənilməz Açıqlama. Kimsə təsadüfən heç bir səbəbdən onlayn olmaması lazım olan məlumatları sızdırır. Məsələn, şirkətin Facebook profilində mühüm müştərinin şəkli yayılır. Fırıldaqçılıq halında bu əməliyyat deyilir yayılma.
• İcazəsiz modifikasiya. Kimsə bunu edə bilməsə də, bəzi məlumatları dəyişdirdi. Səhvən baş veribsə, budur. Əks halda ola bilərdi saxtakarlıq haker və ya təcavüzkar tərəfindən.
• Girişin itirilməsi. Kimsə məlumatı itirir və o, artıq mövcud deyil. Kompüter parolunuzu unutmaq pozuntudur, bunu bilirdinizmi? Və əgər bu qəsdən edilibsə, o olur şifrələmə.
• Məlumatların silinməsi. Kimsə həssas məlumatları silir. Əgər bu səhvən baş veribsə, bu, pozuntudur. Lakin ləğv könüllü olarsa, o, öz üzərinə düşür məlumatların məhv edilməsi.

Şəxsi məlumatların pozulması: necə davranmalı?

Lütfən, ÜDM-in 33 və 34-cü maddələrinə baxın. Bu iki maddə məlumatların pozulması halında izləniləcək prosedurları göstərməyə çalışan Avropa qaydalarına istinad edir. 33-cü maddə şirkətin daxili idarəçiliyinə və Zəmanətçi ilə münasibətlərə, 34-cü maddə isə maraqlı tərəflərlə və ya şəxsi məlumatları əlimizdə olan şəxslərlə idarəetməyə aiddir.

Bunu dəqiqləşdirmək vacibdir məlumatların pozulması həmişə qeydə alınmalıdır e, halda Zəmanətçiyə məlumat verilir 33-cü maddədə göstərildiyi kimi. Bu, həmçinin bildirir ki, məlumat nəzarətçisi pozuntu baş verdikdə, xüsusən də fiziki şəxslərin hüquq və azadlıqlarına təhlükə törədirsə, bu barədə məlumat əldə etdikdən sonra 72 saat ərzində nəzarət orqanlarına məlumat verməlidir. Məlumat prosessorları (əmək haqqı firması, mühasib, sistem analitikləri...) məlumat nəzarətçisinə məlumat verməlidir.

Zəmanətçini xəbərdar etmək qərarına gəlsəniz, ona məlumat lazımdır: pozuntunun xarakteri, cəlb olunan şəxslərin sayı, məlumatların mühafizəsi üzrə məsul şəxsin müqavilə məlumatları, pozuntunun mümkün nəticələri və görülən və ya görüləcək hər hansı tədbirlər.

Bununla belə, şirkətin öhdəliyi var baş verən hər şeyi xəbərdar edin, pozuntuların qəsdən və ya bilərəkdən törədilməsindən asılı olmayaraq, məsuliyyəti (məsuliyyəti) üzərinə götürür.

Məsuliyyət?

Şirkət məsuliyyətli, bacarıqlı və baş verənlərdən xəbərdar olmalıdır onun mühitlərində və sistemlərində. Şirkət problemi proaktiv şəkildə həll etmək bacarığını nümayiş etdirməli və məlumatların pozulmasının nəticələrinin qarşısını almaq üçün alətlərə malik olduğunu nümayiş etdirməlidir. Bu, dəlil və məlumat təqdim etməklə və Sizə baş verənlərin bir daha baş verməyəcəyinə dair Zəmanətçiyə əminlik təklif etməyi təklif etməklə həyata keçirilir. "Məsuliyyət" olmadıqda cərimə tətbiq edilir.

Zəmanətçiyə hansı pozuntular barədə məlumat verilməlidir?

Təsadüfi deyil, yalnız könüllü pozuntular Zəmanətçiyə bildirilir. Məlumata nəzarətçi məlumatların pozulması fərdlərin hüquq və azadlıqlarına xələl gətirə bilərsə, cavabdehlik məntiqi ilə xəbərdar edilib-edilməməsinə qərar verməlidir. L'ENISA (Avropa İttifaqı Kibertəhlükəsizlik Agentliyi) yaratmışdır riskin hesablanması metodologiyası pozulmuş şəxslərin azadlığı haqqında. Bu metodologiya şirkətdə də tətbiq oluna bilər.

Bir pozuntunun olub olmadığını necə bilirsiniz?

Pozuntun həqiqətən aşkar edildiyi başa düşülməlidir. Bu, şirkətdə riski qiymətləndirmək və hər hansı zərəri başa düşmək üçün adekvat təlim olduqda mümkündür. Bir sözlə, itirilmiş fleş diskin mümkün zərərlərini qiymətləndirmək üçün iki ay ərzində hadisə yerinə girən mühəndisə ehtiyacınız yoxdur: sizə əlavə etmədən mövcud işçilərə zərərin dərəcəsini başa düşməyə kömək edən bir təlim kursu lazımdır. onsuz da vacib olan idarəetmə xərclərinə. Sadə dillə desək, işçilər pozuntunun nə ilə nəticələndiyi və prosedurun məlumat subyektlərinə vaxtında çatdırılması mövzusunda təlim keçməlidir.

34-cü maddədə məlumat nəzarətçisi olduğunu izah edir pozuntu barədə məlumat subyektinə məlumat verə bilməz nə vaxt:

• Zəmanətçiyə bildiriş və hesabatlılığın sübutu ilə adekvat texniki və təşkilati tədbirlər həyata keçirilir.
• O, yüksək məlumatların pozulması riskinin qarşısını almaq üçün tədbirlər görüb.
• Əgər qeyri-mütənasib səy tələb edirsə, açıqlama buraxıla bilər – bu halda o, ictimaiyyətə elan edilməlidir!

Məlumat pozuntuları baş verir. Bəs sizcə, bununla necə məşğul ola bilərsiniz?