Регулирование: В США обяжут компании уведомлять об утечке ПД в рамках 30 дней
На днях губернатор штата Колорадо подписал законопроект HB18–1128 под названием «Protections for Consumer Data Privacy». Он обяжет организации уведомлять клиентов и власти штата об «утечках» данных в рамках 30 дней с момента возникновения таких инцидентов. Под катом — наш краткий обзор этого законопроекта с учетом общей ситуации вокруг ввода GDPR.
/ Flickr / Chad Cooper / CC BY
Что требуют
30 дней — самый сжатый срок уведомления среди всех штатов. Он распространяется на все компании без исключения, но с одной поправкой. Компании могут не сообщать о «сливе», если это необходимо в интересах следствия [страница 9, пункт © в тексте законопроекта]. В таком случае органы правопорядка должны предварительно предупредить компанию. Как только ограничения по их просьбе будут сняты, отчет 30 дней на уведомление возобновляется.
Кроме того, закон обязывает компании предоставлять пострадавшим жителям Колорадо сведения о дате утечки, и о том, какие именно данные были скомпрометированы, а также контакты представителей компании для уточнения всей информации об инциденте. Всё это нужно предоставить владельцам ПД следующим образом (в зависимости от имеющихся данных):
- отправить уведомление по почте;
- сообщить по телефону;
- отправить email.
При этом если затраты на предоставление этих данных и уведомление пострадавших превышает 250 тыс. долларов (или число пострадавших превышает 250 тыс. человек или компания не обладает необходимой информацией для использования таких способов связи с клиентами, можно уведомить владельцев ПД с помощью:
- сообщения на странице сайта компании (если он есть);
- региональных СМИ, которые вещают по всему штату.
Ситуация
Ужесточение регламентов для работы с ПД связано с рядом громких кейсов. Например, с кейсом Equifax. Согласно новому законопроекту, он подпадает под массовый слив и требует публичного уведомления пострадавших с помощью СМИ. Напомним, что в случае с Equifax, общественность узнала об утечке только через полтора месяца после случившегося.
Более того, организация признала, что о проблемах с ИБ было известно еще в марте того же года, но «закрыть» уязвимость так и не смогла (и умолчала об этом).
Более свежий кейс — взлом сервиса для мероприятий Ticketfly, проданного Eventbrite за 200 млн долларов в 2017 году. Трой Хант (Troy Hunt), создатель проекта «Have I Been Pwned», подсчитал, что жертвами утечки стали 26 млн пользователей площадки. В переписке с Motherboard предполагаемый киберпреступник заявил, что он предупреждал Ticketfly об уязвимостях и просил 1 биткоин за дополнительные сведения, но компания не проявила интерес. В итоге сервис был недоступен несколько дней, и только спустя неделю после происшествия компания опубликовала сообщение с информацией об утечке, возобновив работу сервиса.
/ Flickr / Korona Lacasse / CC BY
Чтобы предотвратить подобные случаи сенаторы начали «продвигать» законопроект, который устанавливает штрафы для компаний, допустивших утечки ПД. Например, для Equifax штраф составил бы 1,5 млрд долларов. Законопроект о штрафах пока не одобрили, но можно предположить, что новые сроки для уведомлений — шаг к его активному рассмотрению.
Где еще
Колорадо — не первый штат, в котором обновили требования к операторам персональных данных. Например, в 2017 году в Мэриленде ввели 45-дневный дедлайн для оповещения владельцев ПД. Это — средний по США срок для уведомления.
С другой стороны, в Луизиане он составляет 60 дней (текст законопроекта, страница 3, пункт E). Здесь законопроект расширяет само понятие ПД (personally identifying information). Например, теперь оно будет подразумевать в том числе биометрические данные и номер паспорта (страница 2 текста законопроекта).
Если говорить о понятии оператора ПД, то уже в Вермонте его предложили распространить и на те компании, которые обрабатывают персональные данные без ведома их владельцев. Законопроект должен вступить в силу 1 января 2019 года и обяжет такие компании ежегодно отчитываться: предоставлять общую информацию о себе, раскрывать способы получения ПД и сведения о произошедших утечках и их масштабе.
Кстати, европейские требования по уведомлению устанавливают более жесткие рамки — 72 часа с момента обнаружения утечки. В статье 33 официального документа сказано, что уведомление надзорных органов должно включать:
- описание характера утечки с указанием примерного числа владельцев ПД;
- описание возможных последствий и мер, предпринятых для их смягчения;
- а также контактную информацию компании, допустившей утечку.
Что говорят
По словам одного из составителей законопроекта в Колорадо, штат выбрал оптимальный дедлайн, соответствующий потенциальным рискам и здравому смыслу. Однако этот законопроект вызвал возмущение компаний, которые ориентировались на HIPAA (Health Insurance Portability and Accountability Act) при работе, например с номером мед. страховки. Им придется сократить срок уведомления с 60 дней (как требует HIPAA) до 30 дней.
Представители юридических фирм отмечают, что тридцатидневный период уведомления об утечках — требование, к которому организациям еще предстоит привыкнуть. Однако мало кто сомневается в том, что со временем требования к операторам ПД станут только строже. Многие штаты могут перенять европейский подход и сократить дедлайн до десятков часов.
О чем еще мы пишем в корпоративном блоге 1cloud: