Уведомления о нарушении безопасности данных согласно GDPR

Узнайте, как Майкрософт выявляет и нейтрализует нарушения безопасности персональных данных и уведомляет вас об этом в соответствии с требованиями GDPR.

В GDPR установлены требования к уведомлениям для контролеров и обработчиков данных на случай нарушения безопасности персональных данных. В информации ниже рассматриваются соответствующие положения, меры Майкрософт по предотвращению таких нарушений и их выявлению, а также меры реагирования в случае нарушения безопасности и действия по отправке соответствующего уведомления вам как контролеру данных.


Документация о нарушениях безопасности данных для Online Services

Профессиональные услуги Майкрософт

Средства администрирования

Укажите контактное лицо своей организации по вопросам конфиденциальности. Администраторы клиентов могут с помощью портала администрирования Azure Active Directory указать контактное лицо организации по вопросам конфиденциальности на случай, если корпорации Майкрософт понадобится связаться с ними.

Часто задаваемые вопросы об уведомлениях о нарушении безопасности данных

Ниже приведены важные вопросы и ответы об уведомлениях о нарушении безопасности данных.
|

Персональные данные — это любая информация об определенном лице, которая позволяет прямо или косвенно идентифицировать его личность. Нарушение персональных данных — это нарушение безопасности, в результате которой происходит случайное или незаконное уничтожение, утрата, изменение или несанкционированное раскрытие передаваемых, хранимых или обрабатываемых иным образом персональных данных либо доступ к ним.

В случае нарушения безопасности персональных данных, которое влечет за собой серьезный риск для прав и свобод физических лиц (включая такие последствия, как дискриминация, кража личных данных, мошенничество, финансовый ущерб и ущерб для репутации), GDPR налагает на вас перечисленные ниже обязанности.
  • Уведомить соответствующий орган по надзору за соблюдением законов о защите персональных данных (Data Protection Authority, DPA) в течение 72 часов после того, как вам стало известно о нарушении (например, после того, как вы получили уведомление от Майкрософт). Если вы не уведомите DPA в указанный срок, вы будете обязаны дать DPA соответствующие пояснения. Такое уведомление DPA является обязательным также в том случае, если риски для физических лиц не представляются серьезными.
  • Уведомить о нарушении субъектов данных без необоснованной задержки.
  • Задокументировать нарушение, в том числе описать его характер (количество затронутых им людей, количество затронутых записей данных, последствия нарушения, а также корректирующие меры, предлагаемые или принятые вашей организацией).

После того как нам становится известно о нарушении безопасности персональных данных, мы согласно GDPR обязаны уведомить вас об этом без необоснованной задержки. В ситуациях, когда корпорация Майкрософт выступает в роли обработчика, ее обязательства включают как требования GDPR, так и наши собственные стандартные глобальные договорные обязательства. Мы считаем значимыми все подтвержденные нарушения безопасности персональных данных без каких-либо ограничений по минимальной степени риска или ущерба. Мы уведомляем нашил клиентов обо всех нарушениях безопасности данных, с которыми сталкивается непосредственно корпорация Майкрософт или кто-либо из ее субобработчиков. Наши процессы позволяют быстро найти лиц, которых вы указали как ответственных за безопасность в вашей организации, и связаться с ними. Кроме того, все субобработчики по договору обязаны сообщать корпорации Майкрософт о нарушениях безопасности в собственных системах и предоставлять соответствующие гарантии.

Все наши службы и сотрудники следуют внутренним процедура управления инцидентами, которые предусматривают надлежащие профилактические меры, помогающие предотвратить нарушения безопасности. Кроме того, в службах Online Services есть собственные средства контроля безопасности на всех наших платформах, позволяющие выявлять нарушения в тех редких случаях, когда они происходят.

На случай нарушения безопасности персональных данных в Майкрософт предусмотрены перечисленные ниже средства.
  • Специалисты по безопасности, прошедшие подготовку и обучение в соответствии с определенными процедурами.
  • Политики, процедуры и средства контроля, обеспечивающие подробную регистрацию всего происходящего. Сюда относится документация, в которой фиксируются все детали происшествия, его последствия и меры по устранению, а также мониторинг и хранение информации в наших базах данных управления происшествиями.

В корпорации Майкрософт есть политики и процедуры, гарантирующие своевременное уведомление. В соответствии с требованиями DPA относительно уведомления мы готовы предоставить описание процедуры, с помощью которой определяем наличие нарушения персональных данных, описание характера такого нарушения и мер, принятых для его устранения.