Уведомяване за пробив в данните съгласно ОРЗД

Научете как Microsoft открива и отговаря на пробиви в личните данни и ви уведомява съгласно ОРЗД.

ОРЗД определя изискванията за уведомяване за администраторите на данни и за обработващите данни в случай на пробив в личните данни. Информацията по-долу описва тези разпоредби, как Microsoft се опитва да предотврати пробиви на първо място, как Microsoft открива пробив и как Microsoft ще реагира в случай на пробив и ще ви уведоми като администратор на данни.


Документация за пробив в данните за онлайн услуги

Microsoft Professional Services

Инструменти за администриране

Задайте контакта, който отговаря за поверителността на вашата организация. Администраторите на клиент могат да използват портала за администриране на Azure Active Directory, за да дефинират контакта, който отговаря за поверителността на вашата организация, ако Microsoft трябва да комуникира с него.

Често задавани въпроси за уведомяването за пробиви

По-долу са дадени важни въпроси и отговори относно уведомяването за пробиви:
|

Лични данни означават всяка информация, свързана с лице, която може да се използва за директното или индиректното му идентифициране. Пробив в лични данни е "пробив в сигурността, който води до случайно или противозаконно унищожаване, загуба, промяна, неупълномощено разкриване или достъп до лични данни, които са предавани, съхранявани или обработени по друг начин".

В случай на пробив в лични данни, който може да доведе до голям риск за правата и свободите на хората (например дискриминация, кражба на самоличност, измама, финансови загуби или вреда за репутация), ОРЗД изисква от вас:
  • Да уведомите съответния орган за защита на данните (DPA) в рамките на 72 часа от узнаването за него – например след като Microsoft ви уведоми. Ако не уведомите DPA в рамките на този период от време, ще трябва да обясните причините на DPA. Това уведомяване на DPA е необходимо дори когато има риск за хората, който няма вероятност да доведе до голяма опасност.
  • Своевременно да уведомите субектите на данни за пробива.
  • Да документирате пробива, включително описание на характера на му – например колко души са засегнати, броя на засегнатите записи на данни, последиците от пробива и всички коригиращи действия, които вашата организация предлага или е взела.

След като узнаем за пробив в личните данни, ОРЗД изисква от нас своевременно да ви уведомим. Където Microsoft е обработващ, нашите задължения отразяват както изискванията на ОРЗД, така и нашите стандартни, световни договорни клаузи. Смятаме, че всички доказани пробиви в личните данни са обхванати; няма праг за риска от вреда. Ще уведомим нашите клиенти дали пробива в данните е станал при Microsoft директно, или при някой от нашите подобработващи. Разполагаме с внедрени процеси, за да идентифицираме бързо и да се свържем с персонала за инциденти, свързани със защитата, който сте посочили в своята организация. Освен това всички подобработващи са длъжни по договор да съобщават за собствените си пробиви на Microsoft и да предоставят гаранции за тази цел.

Всички наши услуги и служители следват вътрешните процедури за управление на инциденти, за да се гарантира, че ще вземем подходящи предпазни мерки, за да избегнем пробив в данните на първо място. Освен това онлайн услугите имат специални внедрени контроли за защита в нашите платформи за откриване на пробиви в данните в редките случаи, в които възникват.

За да ви помогне в случай на пробив в личните данни, Microsoft има:
  • Служители по сигурността, обучени за конкретните процедури, които трябва да се следват.
  • Разполага с правила, процедури и контроли, за да се гарантира, че Microsoft поддържа подробни записи. Това включва документация, която събира факти за инцидента, ефектите от него и коригиращите действия, както и за проследяване и съхраняване на информацията в нашите системи за управление на инциденти.

Microsoft има внедрени правила и процедури, които да ви уведомят своевременно. За да удовлетворим изискванията за уведомяване на DPA, ще предоставим описание на процеса, който използвахме, за да определим дали е възникнал пробив в личните данни, описание на характера на пробива и описание на мерките, които предприехме, за смекчаване на пробива.