Obsah:
Ve Spojených státech existují různé federální a státní zákony týkající se oznamování porušení údajů, ačkoli neexistuje žádný komplexní federální zákon. V květnu 2011 Obamova administrativa předložila Kongresu komplexní návrh týkající se kybernetické bezpečnosti, který zahrnuje požadavek na federální oznámení o narušení dat. To by mohlo výrazně zlepšit kybernetickou bezpečnost, ale od ledna 2012 nebyly schváleny žádné federální právní předpisy o oznamování porušení předpisů. Zde se podíváme na bezpečnost údajů a právní předpisy, které se připravují na řešení porušení. (Informace o pozadí najdete v části Základní principy zabezpečení IT.)
Vytvoření federálního případu
Na federální úrovni USA existují zákony a pokyny vyžadující oznámení o porušení pro konkrétní typy údajů: zákon o zdravotním pojištění přenositelnosti a odpovědnosti (HIPAA) a zákon o zdravotnických informacích pro hospodářské a klinické zdraví (HITECH), zákon o zdravotnických informacích, Zákon Gramm-Leach-Bliley pro finanční informace a pokyny Úřadu pro správu a rozpočet (OMB) pro osobní údaje federálních agentur.
Podle zákona HITECH musí poskytovatelé zdravotní péče, na něž se vztahuje HIPAA, informovat pacienty „okamžitě“ o porušení jejich zdravotních informací. Ministerstvo zdravotnictví a sociálních služeb (HHS) a média musí být informováni v případech, kdy porušení ovlivní více než 500 osob. Prodejci osobních zdravotních informací mají podobné požadavky na oznámení porušení, ale musí informovat Federální obchodní komisi, nikoli HHS.
Podle pokynů vydaných federálními regulačními orgány v bankovnictví podle zákona Gramm-Leach-Bliley Act, pokud se banka nebo jiná finanční instituce dozví o porušení údajů, měla by provést vyšetřování, aby zjistila pravděpodobnost, že informace byla nebo bude zneužita. Pokud banka zjistí, že došlo k zneužití nebo je to přiměřeně možné, měla by informovat postižené zákazníky co nejdříve.
Oznámení zákazníka může být zpožděno, pokud orgány činné v trestním řízení zjistí, že oznámení bude v rozporu s trestním vyšetřováním a poskytne bance písemnou žádost o zpoždění. Banka by měla informovat své zákazníky, jakmile oznámení již nebude zasahovat do vyšetřování. Oznámení však nemůže být zpožděno kvůli rozpakům nebo nepříjemnostem v bance.
Podle pokynů OMB se od federálních agentur požaduje, aby do jedné hodiny po zjištění / detekci nahlásily všechna porušení údajů, která obsahují osobní údaje. Agentury však mají na uvážení porušení údajů mimo agenturu. Mohou odkládat oznámení z důvodu vymáhání práva, národní bezpečnosti nebo potřeb agentury.
kalifornské snění
Na státní úrovni existuje spousta 46 státních zákonů (a District of Columbia) o oznamování narušení dat. Kalifornie přijala první zákon o oznámení porušení předpisů v roce 2002 a byla použita jako vzor pro mnoho dalších státních zákonů.
Podle kalifornského zákona musí společnosti sdělit zákazníkovi porušení údajů „co nejdříve, bez zbytečného odkladu“ písemně. Pokud oznamující osoba nebo podnik může prokázat, že oznámení by stálo více než 250 000 USD nebo ovlivnilo více než 500 000 lidí, lze použít náhradní oznámení ve formě zveřejnění webové stránky a oznámení hlavním celostátním sdělovacím prostředkům. Statut osvobozuje od oznámení jakékoli porušení údajů, při kterém byly osobní informace šifrovány.
Kalifornie, na rozdíl od mnoha jiných států, však nezahrnuje sankce za včasné informování spotřebitelů o narušení dat. Národní konference státních zákonodárců vede seznam zákonů o oznamování porušení státních údajů a odkazy na tyto zákony.
Evropa nebo poprsí
V Evropě schválila Evropská unie požadavek na oznamování narušení údajů v novele směrnice o soukromí a elektronických komunikacích z roku 2009. Členské státy Evropské unie musely do 25. května 2011 provést změnu do vnitrostátního práva.
Tento pozměňovací návrh požaduje, aby „poskytovatelé veřejně dostupných služeb elektronických komunikací“ informovali vnitrostátní orgány o porušení osobních údajů, které by mohlo mít za následek značnou ekonomickou ztrátu a sociální újmu zákazníkům, jakmile se „o porušení dozvědí“. Také by měli být dotyční zákazníci o porušení informováni „neprodleně“. Oznámení by mělo obsahovat informace o opatřeních přijatých společností a doporučených opatřeních pro postižené zákazníky.
V roce 2012 se očekávají změny směrnice EU o ochraně údajů, včetně požadavku, aby všechny společnosti, nejen poskytovatelé služeb elektronických komunikací, informovaly vnitrostátní orgány a dotčené zákazníky do 24 hodin o narušení osobních údajů.
Zákon o ochraně údajů ve Spojeném království, který předchází směrnici EU o soukromí a elektronických komunikacích, má společnosti k dispozici komplexní soubor požadavků na ochranu údajů, ačkoli neobsahuje požadavek na oznámení o narušení bezpečnosti údajů.
Kancelář UK Information Commissioner (ICO), která je pověřena prováděním tohoto aktu, uvedla, že společnosti by měly ICO hlásit závažná porušení údajů, která jsou definována jako porušení, která by mohla potenciálně poškodit jednotlivce. Agentura uvedla, že od britských společností očekává, že ji budou informovat o porušení nešifrovaných osobních údajů u 1 000 nebo více jednotlivců. ICO uvedla, že není odpovědností informovat dotčené spotřebitele, ale může doporučit, aby společnost zveřejnila porušení předpisů „tam, kde je to jednoznačně v zájmu dotčených jednotlivců nebo existuje-li silný argument veřejného zájmu, aby tak učinil“.
Porušení a hlášení dat
Američtí a evropští zákonodárci a regulátoři v reakci na vysoce zveřejněné narušení údajů a tlak veřejnosti zvažují požadavky, aby všechny společnosti oznamovaly porušení údajů vnitrostátním orgánům a dotčeným spotřebitelům. Od ledna 2012 však žádné z těchto snah nevedlo ke komplexním zákonům a nařízením o oznamování porušení údajů ve Spojených státech nebo Evropské unii.
