Checklist notificarea incalcarilor de date cu caracter personal pentru fondatori si lideri compliance

Notificarea incalcarilor de date cu caracter personal functioneaza cel mai bine cand echipa trece rapid de la incertitudine la o decizie documentata. Checklistul este practic: confirma daca sunt implicate date personale, deschide un registru de evaluare, atribuie responsabili, evalueaza riscul pentru persoane, decide daca trebuie informata autoritatea sau persoanele vizate, pastreaza dovezile si urmareste remedierea pana la inchidere.

Conform articolului 33 GDPR, operatorul trebuie sa notifice autoritatea competenta fara intarzieri nejustificate si, daca este posibil, in 72 de ore de la momentul in care a luat cunostinta de incalcare, cu exceptia cazului in care este improbabil sa existe risc pentru drepturile si libertatile persoanelor. Articolul 34 adauga comunicarea catre persoanele vizate cand exista probabilitate de risc ridicat. Persoana imputernicita trebuie sa informeze operatorul fara intarzieri nejustificate.

Ce previne acest checklist

Multe esecuri apar inainte de decizia de notificare. Echipa observa un eveniment de securitate, dar nu stie daca au fost date personale. Security limiteaza incidentul, dar privacy si legal nu au suficiente fapte. Customer success aude despre incident inainte ca obligatiile contractuale sa fie verificate. Leadership intreaba despre cele 72 de ore, dar nimeni nu stie momentul luarii la cunostinta.

Checklistul conecteaza raspunsul la incidente, evaluarea privacy, obligatiile fata de clienti, vendor management si dovezile de audit.

Checklistul

Foloseste-l pentru orice incident de securitate sau date care poate implica date personale in productie, support tools, loguri, analytics, CRM, backupuri, functii AI, platforme de furnizori, sisteme de angajati sau dataseturi ale clientilor.

1. Deschide registrul de evaluare

Nu astepta sa stii daca incidentul este notificabil. Registrul este locul unde se ia decizia. Noteaza titlu, referinta, ora detectarii, canal, primul reviewer, posibilul moment al luarii la cunostinta, sistemele afectate, masurile initiale, ownerii pentru incident, privacy, legal, security si comunicare, status, fapte deschise si urmatorul review.

2. Confirma daca sunt date personale

Definitia GDPR acopera distrugere, pierdere, modificare, divulgare neautorizata sau acces neautorizat la date personale. Include confidentialitate, integritate si disponibilitate. Intreaba daca sunt vizate persoane identificate sau identificabile, utilizatori, angajati, leaduri, administratori, loguri, atasamente, exporturi, backupuri, analytics sau prompturi AI, si daca datele au fost expuse, schimbate, pierdute sau indisponibile.

3. Identifica rolul companiei

O companie SaaS poate fi operator pentru date de angajati, prospecti, billing, analytics sau conturi si persoana imputernicita pentru continutul clientilor. Pentru fiecare dataset documenteaza rolul, procesul sau clientul, contractul sau DPA, termenul de notificare si decidentul.

4. Strange faptele minime pentru articolul 33

Colecteaza categoriile si numarul aproximativ de persoane, categoriile si numarul aproximativ de inregistrari, tipurile de date, fereastra temporala, accesul, descarcarea, divulgarea, modificarea, pierderea sau indisponibilitatea, starea de izolare, consecintele probabile si masurile luate sau propuse.

5. Evalueaza separat riscul si riscul ridicat

Articolul 33 si articolul 34 folosesc praguri diferite. Analizeaza sensibilitatea, identificabilitatea, severitatea, probabilitatea abuzului, credentiale, date financiare, date de sanatate, categorii speciale, copii, criptare, durata, scara si dovezi de acces real.

6. Decide cine trebuie informat

Separati autoritatea, persoanele vizate, clientii, furnizorii, asiguratorul, leadershipul intern si boardul. Pentru fiecare public noteaza obligatia, baza, termenul, ownerul, aprobatorul, continutul si follow-up-ul. Pentru clienti, verifica DPA si contractul.

7. Pregateste pachetul de dovezi

Pastreaza timeline, loguri, tickete, capturi, note tehnice, analiza de scope, rol, evaluarea riscului, decizii, aprobari, copii ale notificarilor, remediere, root cause si imbunatatiri de control.

8. Inchide bucla

Notificarea nu inchide incidentul. Confirma ca setarile, permisiunile, codul sau problemele furnizorilor au fost corectate, clientii au primit update-uri, comunicarea catre persoane a fost reevaluata, dovezile sunt pastrate si procesele de produs, security, support si vendor au fost actualizate.

FAQ

Ce trebuie sa inteleaga echipele?

Ca notificarea incalcarilor este un workflow sensibil la timp cu fapte de securitate, evaluare privacy, decizii juridice, obligatii fata de clienti, dovezi si remediere.

Cand se aplica pentru echipe SaaS?

Cand o incalcare de securitate afecteaza date personale prin distrugere, pierdere, modificare, divulgare neautorizata, acces neautorizat sau indisponibilitate.

Ce se documenteaza prima data?

Ora detectarii, posibilul moment de luare la cunostinta, sistemele si datele afectate, rolul companiei, izolarea, ownerii, faptele deschise si urmatorul review.

Surse

• European Union, General Data Protection Regulation.
• European Data Protection Board, Guidelines 9/2022 on personal data breach notification under GDPR.
• Information Commissioner's Office, Personal data breaches - a guide.