Преглед садржаја:
У Сједињеним Државама постоје различити савезни и државни закони о кршењу података о кршењу података, мада не постоји свеобухватан савезни закон. У мају 2011. године, Обамина администрација Конгресу је поднијела свеобухватни приједлог за цибер-сигурност који укључује савезни захтјев за обавјештавањем о кршењу података. Ово би могло увелике побољшати цибер-сигурност, али од јануара 2012. није усвојено ниједно законодавство о нотификацији о кршењу података савезне државе. Овдје ћемо погледати сигурност података и законодавство које се поставља како би се ријешиле повреде. (За читање у позадини погледајте Основна начела безбедности ИТ-а.)
Израда савезног случаја
На америчкој савезној разини постоје закони и упутства која захтијевају обавијест о кршењу за одређене врсте података: Закон о преносивости здравственог осигурања и одговорности (ХИПАА) и Закон о здравственој информационој технологији за економско и клиничко здравље (ХИТЕЦХ) о подацима о здравственој заштити, Закон о финансијским информацијама Грамм-Леацх-Блилеи и смернице Канцеларије за управљање и буџет (ОМБ) за личне податке које поседују савезне агенције.
Према Закону о ХИТЕЦХ-у, даваоци здравствених услуга обухваћени ХИПАА-ом морају без одлагања обавестити пацијенте о кршењу њихових здравствених података. Одјељење за здравство и људске услуге (ХХС) и медији морају бити обавијештени у случајевима када кршења утјечу на више од 500 појединаца. Добављачи личних здравствених података имају сличне захтеве за обавештавање о кршењу, али морају да обавештавају Савезну трговинску комисију, а не ХХС.
Према смерницама које су издали савезни банкарски регулатори по Закону о Грамм-Леацх-Блилеиу, када банка или друга финансијска институција сазна за кршење података, требало би да спроведе истрагу како би утврдила вероватноћу да су информације биле злоупотребљене или ће их злоупотребити. Ако банка утврди да је дошло до злоупотребе или је то разумно могуће, о томе мора што пре да обавести погођене клијенте.
Обавештење клијента може се одложити ако полицијска управа утврди да ће обавештење ометати кривичну истрагу и банци доставити писмени захтев за одлагање. Банка би требало да обавести своје клијенте чим обавештење више неће ометати истрагу. Међутим, нотификација се не може одложити због срамоте или непријатности за банку.
Према упутствима ОМБ-а, савезне агенције су дужне да пријаве један прекршај података који укључују лично идентифицирајуће податке у року од једног сата од откривања / откривања. Међутим, агенције имају дискреционо право да пријављују кршење података изван агенције. Они могу одгодити нотификацију за спровођење закона, националну безбедност или потребе агенција.
Калифорнија сања
На државном нивоу постоји мрежа 46 државних закона (и Дистрикта Цолумбиа) о обавештавању о кршењу података. Калифорнија је први закон о обавештавању о кршењу података донијела 2002. године и он је коришћен као модел за многе друге државне законе.
Према калифорнијском закону, компаније морају открити повреде података купцима "што је пре могуће, без неразумног одлагања" у писаној форми. Ако особа или предузеће које пријављује могу показати да би обавештење коштало више од 250 000 УСД или да би погодило више од 500 000 људи, тада се може заменити обавештење у облику објављивања веб локација и обавештења према великим државним медијима. Статут изузеће од обавештења о било каквом кршењу података у којима су лични подаци шифрирани.
Међутим, Калифорнија, за разлику од многих других држава, не укључује казне због пропуста благовременог обавештавања потрошача о кршењу података. Национална конференција државних закона одржава списак закона о обавештавању о кршењу државних података и везе са тим законима.
Европа или Буст
У Европи је Европска унија одобрила захтев за обавештавање о кршењу података у измени своје Директиве о приватности за 2009. годину. Државе чланице Европске уније имале су до 25. маја 2011. године да примене амандман у национално законодавство.
Изменама се захтева да „пружаоци јавно доступних електронских комуникационих услуга“ обавештавају националне органе о кршењу личних података који могу резултирати знатним економским губитком и социјалном штетом за кориснике „чим„ постану свесни кршења. Такође, погођени купци би требало да буду обавештени о кршењу „без одлагања“. Обавештење треба да садржи информације о предузетим мерама компаније, као и препоручене акције за погођене купце.
Промјене ЕУ директиве о заштити података очекују се у 2012. години, укључујући захтјев да све компаније, а не само добављачи електроничких комуникационих услуга, обавијесте националне власти и погођене купце у року од 24 сата о кршењу личних података.
Закон о заштити података у Великој Британији, који је претходио ЕУ директиви о приватности, има свеобухватан скуп захтева за компаније да заштите податке, иако не садржи захтев за обавештавање о кршењу података.
Канцеларија повереника за информације у Великој Британији (ИЦО), која је задужена за спровођење акта, рекла је да компаније треба да пријаве озбиљне кршења података, дефинисана као кршења која могу да нанесу потенцијалну штету појединцима. Агенција је саопштила да ће очекивати од британских компанија да их обавештавају о кршењу нешифрованих личних података на 1.000 или више појединаца. ИЦО је рекао да није његова одговорност да информише погођене потрошаче, али може препоручити да та компанија објави прекршај „тамо где је то очигледно у интересу дотичних појединаца или ако постоји снажан аргумент у јавном интересу за то“.
Кршења података и извештавање
Као одговор на кршење података и јавни притисак, амерички и европски законодавци и регулаторни органи разматрају захтеве да све компаније пријаве повреде података националним властима и утичу на потрошаче. Међутим, од јануара 2012. ниједан од тих напора није резултирао свеобухватним законима и прописима о кршењу података било у Сједињеним Државама или Европској унији.
