Уведомяване за пробив в данните съгласно ОРЗД
Научете как Microsoft открива и реагира на пробив в личните данни и ви уведомява съгласно ОРЗД.
ОРЗД определя изискванията за уведомяване за администраторите на данни и за обработващите данни в случай на пробив в личните данни. Информацията по-долу описва тези разпоредби, как Microsoft се опитва да предотврати пробиви на първо място, как Microsoft открива пробив и как Microsoft ще реагира в случай на пробив и ще ви уведоми като администратор на данни.
Инструменти за администриране
Често задавани въпроси за уведомяването за пробиви
По-долу са дадени важни въпроси и отговори относно уведомяването за пробиви:
Често задавани въпроси
|
Лични данни означават всяка информация, свързана с лице, която може да се използва за директното или индиректното му идентифициране. Пробив в лични данни е "пробив в сигурността, който води до случайно или противозаконно унищожаване, загуба, промяна, неупълномощено разкриване или достъп до лични данни, които са предавани, съхранявани или обработени по друг начин".
В случай на пробив в лични данни, който може да доведе до голям риск за правата и свободите на хората (например дискриминация, кражба на самоличност, измама, финансови загуби или вреда за репутация), ОРЗД изисква от вас:
- Да уведомите съответния орган за защита на данните (DPA) в рамките на 72 часа от узнаването за него – например след като Microsoft ви уведоми. Ако не уведомите DPA в рамките на този период от време, ще трябва да обясните причините на DPA. Това уведомяване на DPA е необходимо дори когато има риск за хората, който няма вероятност да доведе до голяма опасност.
- Своевременно да уведомите субектите на данни за пробива.
- Да документирате пробива, включително описание на характера на му – например колко души са засегнати, броя на засегнатите записи на данни, последиците от пробива и всички коригиращи действия, които вашата организация предлага или е взела.
След като узнаем за пробив в личните данни, ОРЗД изисква от нас своевременно да ви уведомим. Където Microsoft е обработващ, нашите задължения отразяват както изискванията на ОРЗД, така и нашите стандартни, световни договорни клаузи. Смятаме, че всички доказани пробиви в личните данни са обхванати; няма праг за риска от вреда. Ще уведомим нашите клиенти дали пробива в данните е станал при Microsoft директно, или при някой от нашите подобработващи. Внедрили сме процеси, с които да идентифицираме бързо и да се свържем с персонала, отговарящ за инциденти в защитата, който сте посочили за своята организация. Освен това всички подобработващи са длъжни по договор да съобщават за собствените си пробиви на Microsoft и да предоставят гаранции за тази цел.
Всички наши услуги и служители следват вътрешните процедури за управление на инциденти, за да се гарантира, че ще вземем подходящи предпазни мерки, за да избегнем пробив в данните на първо място. Освен това онлайн услугите имат специални внедрени контроли за защита в нашите платформи за откриване на пробиви в данните в редките случаи, в които възникват.
За да ви помогне в случай на пробив в личните данни, Microsoft има:
- Служители по сигурността, обучени за конкретните процедури, които трябва да се следват.
- Разполага с правила, процедури и контроли, за да се гарантира, че Microsoft поддържа подробни записи. Това включва документация, която събира факти за инцидента, ефектите от него и коригиращите действия, както и за проследяване и съхраняване на информацията в нашите системи за управление на инциденти.
Microsoft има внедрени правила и процедури, които да ви уведомят своевременно. За да удовлетворим изискванията за уведомяване на DPA, ще предоставим описание на процеса, който използвахме, за да определим дали е възникнал пробив в личните данни, описание на характера на пробива и описание на мерките, които предприехме, за смекчаване на пробива.