На сьогодні кібератака — це не лише віруси чи вкрадені паролі, а й будь-які дії зловмисників, які використовують наявні прогалини у вашій кібербезпеці. У результаті — порушення політики безпеки інформації, завдання збитків автоматизованим системам та комп’ютерним мережам та ще ціла низка негативних наслідків для бізнесу.
Кібератака можлива через:
Серед безлічі негативних наслідків кібератаки варто виокремити порушення безпеки персональних даних. На рівні з розвитком технологій та інтеграцією кожного в кіберпростір, все частіше обговорюється небезпека знищення або витоку персональних даних. Це може призвести до:
.
Тому дії щодо захисту персональних даних є обов’язковою вимогою до підприємства як володільця даних, відповідно до Закону України «Про захист персональних даних». Конвенція Ради Європи № 108 «Про захист осіб у зв’язку з автоматизованою обробкою персональних даних» передбачає вжиття відповідних заходів безпеки. А кіберзахист персональних даних визначений у Законі України «Про основні засади забезпечення кібербезпеки України».
Отже, якщо захист даних вашого бізнесу й ризик їх втрати — це виключно ваша проблема, то захист персональних даних, які ви обробляєте — уже ваш обов’язок перед законом. І розібратися в таких нормах часто складніше, ніж технічно організувати саму кібербезпеку.
У цьому, безумовно, можуть допомогти досвідчені юридичні радники. Саме вони зможуть не лише вирішити уже наявні проблеми, але й завчасно виявити потенційні ризики й, таким чином, запобігти порушенню закону та притягненню до відповідальності. За порушення законодавства у сфері обробки персональних даних для посадових осіб підприємства передбачено адміністративну (статті 188-39, 188-40 КУпАП) та кримінальну відповідальність (стаття 182 КК України).
Можливі дії Уповноваженого Верховної Ради України з прав людини:
Розслідування кіберінцидентів, пов’язаних із витоком персональних даних, забезпечується, передусім, на організаційному рівні підприємства завдяки:
Для узгодження дій між працівниками компанії, у разі несанкціонованого доступу третіх осіб до персональних даних, юристу необхідно розробляти на підприємстві політики відповідно до вимог законодавства України й інших держав. Наприклад, вимогами GDPR (Загальний регламент захисту персональних даних ЄС) передбачено обов’язкове повідомлення компетентних органів про кіберінциденти, що призводять до витоку персональних даних. Цікаво, що GDPR може застосовуватися не лише на території ЄС, а й поза його межами — щодо діяльності підприємств, зареєстрованих у ЄС, щодо громадян ЄС тощо.
У разі кіберінцидентів чи кібератак важливо залучати юристів до взаємодії з органами державної влади та представництва інтересів бізнесу в суді.
Стаття розміщенна на резурсі Liga:BOOK