Sadržaj:
U Sjedinjenim Državama postoje razni savezni i državni zakoni o kršenju podataka o kršenju podataka, iako ne postoji sveobuhvatni savezni zakon. U svibnju 2011., Obamina administracija podnijela je Kongresu sveobuhvatni prijedlog za cyber-sigurnost koji uključuje savezni zahtjev za obavještavanjem o kršenju podataka. To bi moglo uvelike poboljšati cyber-sigurnost, ali od siječnja 2012. nije usvojeno zakonodavstvo o obavijesti o kršenju podataka savezne države. Ovdje ćemo pogledati sigurnost podataka i zakonodavstvo koje se postavlja za rješavanje kršenja zakona. (Za čitanje u pozadini pogledajte Osnovna načela sigurnosti IT-a.)
Izrada saveznog slučaja
Na američkoj saveznoj razini postoje zakoni i smjernice koje zahtijevaju obavijest o kršenju za određene vrste podataka: Zakon o prenosivosti zdravstvenog osiguranja i odgovornosti (HIPAA) i Zakon o zdravstvenoj informacijskoj tehnologiji za ekonomsko i kliničko zdravlje (HITECH) o podacima o zdravstvu, Zakon o financijskim informacijama Gramm-Leach-Bliley i smjernice Ureda za upravljanje i proračun (OMB) za osobne podatke koje posjeduju savezne agencije.
Prema Zakonu o HITECH-u, pružatelji zdravstvenih usluga obuhvaćenih HIPAA-om moraju odmah obavijestiti pacijente o povratu njihovih zdravstvenih podataka. Odjel za zdravstvo i ljudske usluge (HHS) i mediji moraju se obavijestiti u slučajevima kada kršenja utječu na više od 500 osoba. Dobavljači osobnih zdravstvenih podataka imaju slične zahtjeve za prijavu kršenja pravila, ali moraju obavijestiti Federalnu trgovinsku komisiju, a ne HHS.
Prema uputama koje su izdali savezni regulatori za bankarstvo prema Zakonu o Gramm-Leach-Blileyu, kada banka ili druga financijska institucija postane svjesna kršenja podataka, trebala bi provesti istragu kako bi utvrdila vjerojatnost da su informacije korištene ili će biti zloupotrijebljene. Ako banka utvrdi da je došlo do zloupotrebe ili je razumna moguća, ona bi trebala obavijestiti pogođene klijente što je prije moguće.
Obavijest klijenta može se odgoditi ako policijska uprava utvrdi da će obavijest ometati kriminalističku istragu i banci dostaviti pisani zahtjev za odgodu. Banka bi trebala obavijestiti svoje klijente čim obavijest više neće ometati istragu. Međutim, prijava se ne može odgoditi zbog neugodnosti ili neugodnosti za banku.
Prema smjernicama OMB-a, savezne agencije dužne su prijaviti sva kršenja podataka koja uključuju podatke koje je moguće identificirati u roku od jednog sata od otkrića / otkrivanja. Međutim, agencije imaju diskrecijsko pravo prijaviti kršenje podataka izvan agencije. Oni mogu odgoditi obavijest za potrebe provedbe zakona, nacionalne sigurnosti ili agencija.
Kalifornijsko sanjanje
Na državnoj razini postoji skupina 46 državnih zakona (i Distrikta Columbia) o obavijesti o kršenju podataka. Kalifornija je prvi zakon o prijavljivanju kršenja podataka donijela 2002. godine i on je korišten kao model za mnoge druge državne zakone.
Prema kalifornijskom zakonu, tvrtke moraju otkriti povrede podataka kupcima "što je prije moguće, bez nerazumnog odgađanja" u pisanom obliku. Ako osoba ili tvrtka koja prijavljuje mogu pokazati da bi prijava koštala više od 250 000 USD ili pogodila više od 500 000 ljudi, tada se može upotrijebiti zamjenska obavijest u obliku objavljivanja web mjesta i obavijesti velikim državnim medijima. Statut oslobađa obavijesti o bilo kakvom kršenju podataka u kojem su osobni podaci šifrirani.
Međutim, Kalifornija, za razliku od mnogih drugih država, ne uključuje kazne za neuspjeh potrošača da obavijeste o kršenju podataka. Nacionalna konferencija državnih zakona održava popis zakona o prijavi kršenja državnih podataka i povezuje se na te zakone.
Europa ili Bust
U Europi je Europska unija odobrila zahtjev za obavijest o kršenju podataka u izmjeni svoje Direktive o privatnosti za 2009. godinu. Države članice Europske unije imale su rok za provedbu izmjena i dopuna u nacionalnom zakonodavstvu do 25. svibnja 2011. godine.
Izmjena i dopuna zahtijeva od "pružatelja javno dostupnih elektroničkih komunikacijskih usluga" da obavijeste nacionalna tijela o kršenju osobnih podataka koje bi mogle rezultirati znatnim ekonomskim gubitkom i društvenom štetom za korisnike "čim postanu svjesni kršenja. Također, pogođeni kupci trebaju biti obaviješteni o kršenju "bez odlaganja". Obavijest treba sadržavati informacije o poduzetim mjerama, kao i preporučene radnje za pogođene kupce.
Promjene EU direktive o zaštiti podataka očekuju se u 2012. godini, uključujući zahtjev da sve tvrtke, a ne samo pružatelji elektroničkih komunikacijskih usluga, obavijeste nacionalna tijela i pogođene kupce u roku od 24 sata o kršenju osobnih podataka.
Zakon o zaštiti podataka u Velikoj Britaniji, koji je prethodio EU direktivi o privatnosti, ima sveobuhvatan skup zahtjeva za tvrtke za zaštitu podataka, iako ne sadrži zahtjev za prijavu kršenja podataka.
Ured povjerenika za informacije u Velikoj Britaniji (ICO), koji je zadužen za provedbu zakona, rekao je da bi kompanije trebale prijaviti ozbiljna kršenja podataka, definirana kao kršenja koja bi mogla nanijeti štetu pojedincima. Agencija je priopćila kako će očekivati da će je britanske kompanije obavijestiti o kršenju nešifriranih osobnih podataka na 1.000 ili više pojedinaca. ICO je rekao da nije njegova odgovornost informirati pogođene potrošače, ali može preporučiti da tvrtka objavi tu povredu "tamo gdje je to očito u interesu dotičnih pojedinaca ili ako postoji snažan argument u javnom interesu za to".
Kršenje podataka i izvještavanje
Kao odgovor na kršenje podataka i javni pritisak, američki i europski zakonodavci i zakonodavci razmatraju zahtjeve da sve tvrtke prijave kršenje podataka nacionalnim vlastima i utječu na potrošače. Međutim, od siječnja 2012. niti jedan od tih napora nije rezultirao sveobuhvatnim zakonima i propisima o kršenju podataka bilo u Sjedinjenim Državama ili Europskoj uniji.
