Fråga:
GDPR-efterlevnad - anmälan om dataintrång
Simon
2019-08-02 00:06:53 UTC
view on stackexchange narkive permalink

I art. 33, specificerar GDPR att en registeransvarig måste anmäla ett brott mot personuppgifter till tillsynsmyndigheten efter att ha fått kännedom om det .

Fall 1: En databasdump med personuppgifter är värd under en tidsperiod på en server som är tillgänglig från internet. Filen kan laddas ner utan autentisering från någon som känner till webbadressen.
Styrenheten har inga bevis för att någon laddar ner filen eftersom webbservern som är värd för filen håller inga loggar eller inte alla loggar under hela den tid den filen var tillgängliga för nedladdning behålls på servern eftersom de roteras automatiskt.

I detta fall, måste den registeransvarige meddela tillsynsmyndigheten? Även om det inte finns några bevis för ett brott?

Fall 2: säg att en webbapplikation tillgänglig från internet ger vissa användare tillgång till känsliga personuppgifter. Detta är det primära användningsfallet för denna webbapp. Webbplatsen använder https för att kryptera data under transport. För vissa konfigurationsfel på webbservern blir https avaktiverad och all trafik till den här webbplatsen är tydlig under en tidsperiod.

I det andra fallet, måste den registeransvarige meddela tillsynsmyndigheten? Även om det inte finns några bevis för ett brott eftersom ingen man i mittattacken upptäcktes?

Ett svar:
amon
2019-08-02 02:01:48 UTC
view on stackexchange narkive permalink

GDPR ger styrenheterna mycket latitud. De måste besluta om rätt handlingssätt med hänsyn till de eventuella riskerna för registrerade. Specifikt är ingen anmälan från myndigheten nödvändig om "personuppgiftsintrånget sannolikt inte leder till en risk för fysiska personers rättigheter och friheter."

I ditt scenario 1 föreslår du att det inte finns någon intrång eftersom det inte finns några bevis för att uppgifterna har åtkomst till felaktigt.

Denna analys är felaktig: den registeransvarige är medveten om att informationen inte var säkrad ordentligt och kan inte utesluta att uppgifterna var felaktigt åtkomliga. Jag skulle hävda att detta passar beskrivningen av ett "säkerhetsbrott som leder till oavsiktlig eller olaglig ... obehörig avslöjande av ... personuppgifter" (jämför definitionen av ett dataintrång i artikel 4.12). Således har en dataintrång inträffat.

Frågan om tillsynsmyndigheten måste underrättas om överträdelsen är mer diskutabel. Den registeransvarige måste bedöma sannolikheten för risker för den registrerade. Här kan de kanske argumentera för att risken för avslöjande är låg. Emellertid skulle arten av de överträdda uppgifterna också vara relevant.

Om du är osäker bör den registeransvarige göra anmälan. Målet med GDPR är inte att straffa olyckliga företag som drabbas av ett brott, utan att skydda personuppgifter. Således är det troligtvis det bästa sättet att fixa misstag och samarbeta med tillsynsmyndigheterna för de flesta företag.

I ditt andra scenario är uppgifterna känsliga - avslöjandet av dem har en hög risk för registrerade. Men risken för att någon kommer att fånga upp dessa uppgifter är diskutabel. Balanserar risken för avlyssning datakänsligheten? Det är personuppgiftsansvarigens samtal, men jag tror inte det. Ett meddelande verkar lämpligt här.

Som en teknisk anmärkning är det bara att erbjuda HTTPS inte räcker för att förhindra MitM-attacker - användarna måste tvingas att använda krypterade anslutningar. Om en registeransvarig ser MitM som en risk, är de skyldiga enligt artikel 24 att vidta lämpliga tekniska åtgärder. Här skulle HSTS- och HSTS-förladdning förhindra att anslutningarna nedgraderas till HTTP. I stället för att erbjuda osäkra anslutningar skulle webbplatsen bli oåtkomlig. En kompletterande strategi är att inte servera innehåll via HTTP, utan att HTTP-servern endast utfärdar en permanent omdirigering till HTTPS-URL.

FWIW, i det andra fallet kan du anta att de okrypterade uppgifterna har samlats in av stora nationstatliga aktörer.


Denna fråga och svar översattes automatiskt från det engelska språket.Det ursprungliga innehållet finns tillgängligt på stackexchange, vilket vi tackar för cc by-sa 4.0-licensen som det distribueras under.
Loading...