Kazalo:
V ZDA obstajajo različni zvezni in državni zakoni o obveščanju o kršitvah podatkov, čeprav ni celovitega zveznega zakona. Maja 2011 je Obamova administracija Kongresu predložila obsežen predlog kibernetske varnosti, ki vključuje zvezno zahtevo za obveščanje o kršitvi podatkov. To bi lahko močno izboljšalo kibernetsko varnost, vendar od januarja 2012 ni bila sprejeta nobena zakonodaja o obveščanju o kršitvah podatkov zvezne države. Tu si oglejmo varnost podatkov in zakonodajo, ki je vzpostavljena za obravnavo kršitev. (Za branje v ozadju glejte Osnovna načela varnosti IT.)
Sprejem zvezne zadeve
Na ameriški zvezni ravni obstajajo zakoni in smernice, ki zahtevajo obveščanje o kršitvah za posebne vrste podatkov: Zakon o zdravstvenem zavarovanju in prenos odgovornosti (HIPAA) ter Zakon o zdravstveni informacijski tehnologiji za ekonomsko in klinično zdravje (HITECH) za informacije o zdravstveni negi, Zakon o finančnih informacijah Gramm-Leach-Bliley in smernice urada za upravljanje in proračun (OMB) za osebne podatke, ki jih hranijo zvezne agencije.
Po zakonu HITECH morajo izvajalci zdravstvenih storitev, ki jih zajema HIPAA, paciente takoj obvestiti o kršitvi njihovih zdravstvenih podatkov. V primerih, ko kršitve prizadenejo več kot 500 posameznikov, je treba obvestiti ministrstvo za zdravje in človeške storitve (HHS) in medije. Prodajalci osebnih zdravstvenih podatkov imajo podobne zahteve glede obveščanja o kršitvah, vendar morajo obvestiti Zvezno trgovinsko komisijo in ne HHS.
Po navodilih, ki jih izdajo zvezni bančni regulatorji v skladu z zakonom Gramm-Leach-Bliley, ko banka ali druga finančna institucija izve za kršitev podatkov, mora opraviti preiskavo, da ugotovi verjetnost zlorabe ali zlorabe podatkov. Če banka ugotovi, da je prišlo do zlorabe ali je razumno možna, mora o tem čim prej obvestiti prizadete stranke.
Obveščanje strank se lahko zavleče, če organi pregona ugotovijo, da bo prijava motila kazensko preiskavo in banki zagotovila pisno zahtevo za zamudo. Banka bi morala svoje stranke obvestiti takoj, ko obvestilo ne bo več oviralo preiskave. Obveščanja pa zaradi zadrege ali neprijetnosti na banki ni mogoče odložiti.
Po navodilih OMB morajo zvezne agencije v eni uri od odkritja / odkritja prijaviti vse kršitve podatkov, ki vključujejo osebno določljive podatke. Vendar pa imajo agencije diskrecijo glede poročanja o kršitvah podatkov zunaj agencije. Lahko odložijo obvestila za potrebe kazenskega pregona, nacionalne varnosti ali agencij.
Kalifornijske sanje
Na ravni države obstaja 46 držav zakonov (in okrožje Columbia) o obveščanju o kršitvah podatkov. Kalifornija je prvi zakon o obveščanju o kršitvi podatkov sprejela leta 2002 in je bil uporabljen kot model za številne druge državne zakone.
V skladu s kalifornijskim zakonom morajo podjetja kršitve podatkov kupcem razkriti "čim prej, brez nerazumnih zamud". Če lahko oseba ali podjetje, ki priglaša, dokaže, da bi obvestilo stalo več kot 250.000 dolarjev ali vplivalo na več kot 500.000 ljudi, potem bi bilo mogoče uporabiti nadomestno obvestilo v obliki objave spletnega mesta in obveščanja večjih državnih medijev. Statut izvzema priglasitev kakršne koli kršitve podatkov, v kateri so bili osebni podatki šifrirani.
Vendar Kalifornija, za razliko od mnogih drugih držav, ne vključuje kazni, ker potrošnikov ne bi takoj obvestila o kršitvi podatkov. Nacionalna konferenca državnih zakonodaj vodi seznam zakonov o obveščanju o kršitvah podatkov države in povezave do teh zakonov.
Evropa ali Bust
V Evropi je Evropska unija odobrila zahtevo za obveščanje o kršitvi podatkov v spremembi svoje direktive o zasebnosti v letu 2009. Države članice Evropske unije so imele spremembo v nacionalni zakonodaji do 25. maja 2011.
Predlog spremembe zahteva, da "ponudniki javno dostopnih elektronskih komunikacijskih storitev" nacionalne organe obvestijo o kršitvi osebnih podatkov, ki bi lahko povzročila znatno gospodarsko izgubo in družbeno škodo za stranke "takoj, ko" ugotovijo kršitev. Prav tako je treba prizadete stranke obvestiti o kršitvi "nemudoma." Obvestilo mora vsebovati informacije o ukrepih, ki jih podjetje izvaja, ter priporočene ukrepe za prizadete stranke.
Spremembe direktive EU o varstvu podatkov se pričakujejo v letu 2012, vključno z zahtevo, da vsa podjetja, ne le ponudniki elektronskih komunikacijskih storitev, v 24 urah o kršitvi osebnih podatkov obvestijo nacionalne organe in prizadete stranke.
Zakon o varstvu podatkov v Združenem kraljestvu, ki je pred EU direktivo o varovanju zasebnosti, vsebuje celovit nabor zahtev za varovanje podatkov, čeprav ne vsebuje zahteve po obveščanju o kršitvi podatkov.
Urad za informacijsko komisijo Združenega kraljestva za informiranje (ICO), ki je zadolžen za izvajanje zakona, je dejal, da bi morale družbe ICO prijaviti resne kršitve podatkov, opredeljene kot kršitve, ki bi lahko škodile posameznikom. Agencija je dejala, da bo od britanskih podjetij pričakovala, da jih bodo obvestili o kršitvah nezašifriranih osebnih podatkov na 1.000 ali več posameznikov. ICO je dejal, da ni odgovoren za obveščanje prizadetih potrošnikov, lahko pa priporoči, da podjetje javno objavi kršitev, "če je to očitno v interesu zadevnih posameznikov ali če obstaja močan argument v javnem interesu."
Kršitve podatkov in poročanje
Kot odziv na močno objavljene kršitve podatkov in pritisk javnosti ameriški in evropski zakonodajalci in zakonodajalci razmišljajo o zahtevah, da vsa podjetja poročajo o kršitvah podatkov nacionalnim organom in prizadenejo potrošnike. Vendar od januarja 2012 nobeno od teh prizadevanj ni prineslo celovite zakonodaje in predpisov o obveščanju o kršitvah podatkov niti v Združenih državah niti v Evropski uniji.
