Tartalomjegyzék:
- Szövetségi ügy készítése
- Kalifornia álmodik
- Európa vagy mellszobor
- Adatok megsértése és jelentéstétel
Az Egyesült Államokban különféle szövetségi és állami törvények vannak az adatok megsértéséről, noha nincs átfogó szövetségi törvény. 2011 májusában az Obama kormánya átfogó kiberbiztonsági javaslatot nyújtott be a Kongresszusnak, amely tartalmaz egy szövetségi adatsértési értesítési követelményt. Ez jelentősen javíthatja a kiberbiztonságot, de 2012 januárjától nem fogadtak el szövetségi adatvédelmi szabályok bejelentésére vonatkozó törvényt. Itt egy pillantást vetünk az adatbiztonságra és a jogsértések kezelésére kidolgozandó jogszabályokra. (A háttér olvasásához lásd az IT biztonság alapelveit.)
Szövetségi ügy készítése
Az Egyesült Államok szövetségi szintjén vannak olyan törvények és útmutatások, amelyek előírják a jogsértés bejelentését bizonyos típusú adatok esetében: az egészségbiztosítás hordozhatóságáról és elszámoltathatóságáról szóló törvény (HIPAA) és az egészségügyi információs technológiáról a gazdasági és klinikai egészségügyről (HITECH) az egészségügyi információkkal kapcsolatos törvény, A pénzügyi információkra vonatkozó Gramm-Leach-Bliley törvény, valamint a Szövetségi Ügynökségek birtokában lévő személyes információkra vonatkozó irányítási és költségvetési hivatal (OMB) útmutatása.
A HITECH törvény szerint a HIPAA hatálya alá tartozó egészségügyi szolgáltatóknak "haladéktalanul" értesíteniük kell a betegeket, ha egészségügyi adataikat megsértették. Az esetekben, amikor a jogsértés több mint 500 személyt érint, értesíteni kell az Egészségügyi és Humán Szolgáltatási Minisztériumot (HHS) és a médiát. A személyes egészségügyi információk forgalmazói hasonló szabálysértési értesítéssel rendelkeznek, ám a HHS helyett a Szövetségi Kereskedelmi Bizottságot kell értesíteniük.
A szövetségi bankszabályozók által a Gramm-Leach-Bliley törvény alapján kiadott útmutatások szerint, amikor egy bank vagy más pénzügyi intézmény tudomást szerez az adatok megsértéséről, vizsgálatot kell folytatnia annak megállapítására, hogy valószínű-e az információkkal való visszaélés vagy azok visszaélése. Ha a bank megállapítja, hogy visszaélés történt, vagy ésszerűen lehetséges, akkor a lehető leghamarabb értesítenie kell az érintett ügyfeleket.
Az ügyfelek értesítése késhet, ha a bűnüldöző szervek megállapítják, hogy az értesítés zavarja a bűnügyi nyomozást, és írásbeli kérelmet nyújt be a banknak a késedelemről. A banknak értesítenie kell ügyfeleit, amint az értesítés már nem zavarja a vizsgálatot. Az értesítést azonban nem lehet késedelem vagy a bank számára okozott kellemetlenség miatt késleltetni.
Az OMB útmutatása szerint a szövetségi ügynökségeknek a felfedezéstől / felfedezéstől számított egy órán belül be kell jelenteniük az összes, személyesen azonosítható információt érintő adatszegést. Az ügynökségek azonban mérlegelési jogkörrel rendelkeznek az ügynökségen kívüli adatsértések bejelentésére. Halaszthatják az értesítést rendészeti, nemzetbiztonsági vagy ügynökségi igények miatt.
Kalifornia álmodik
Állami szinten 46 állami törvény (és a Columbia kerület) illeszkedik az adatsértések bejelentésére. Kalifornia 2002-ben fogadta el az első adatsértésekről szóló értesítést, amelyet sok más állam törvényi mintájaként használtak.
A kaliforniai törvény értelmében a társaságoknak „a lehető leghamarabb, indokolatlan késedelem nélkül” írásbeli információt kell közzétenniük az ügyfeleknek az ügyfelek számára. Ha a bejelentő személy vagy vállalkozás bizonyítani tudja, hogy az értesítés több mint 250 000 dollárba kerülne, vagy több mint 500 000 emberre vonatkozna, akkor helyettesítő értesítést lehet tenni egy weboldal formájában, amely feladást küld, és értesítést küld a nagyobb állami szintű média számára. A statútum mentesíti az értesítés alól minden olyan adat megsértését, amelyben a személyes adatokat titkosították.
Ugyanakkor Kaliforniában, sok más államtól eltérően, nem vonatkozik szankciók arra az esetre, ha a fogyasztókat haladéktalanul értesítik az adatok megsértéséről. Az Állami Törvényhozók Nemzeti Konferenciája fenntartja az állami adatok megsértéséről szóló értesítésekről szóló törvények listáját és az ezekre mutató hivatkozásokat.
Európa vagy mellszobor
Európában az Európai Unió az elektronikus adatvédelmi irányelv 2009. évi módosításával jóváhagyta az adatsértések bejelentésére vonatkozó követelményt. Az Európai Unió tagállamainak 2011. május 25-ig kellett végrehajtaniuk a módosítást a nemzeti jogban.
A módosítás előírja, hogy a "nyilvánosan elérhető elektronikus hírközlési szolgáltatások szolgáltatói" értesítsék a nemzeti hatóságokat a személyes adatok megsértéséről, amelyek jelentős gazdasági veszteségeket és társadalmi károkat okozhatnak az ügyfeleknek ", amint" tudomására jutnak a jogsértésről. Ezenkívül az érintett ügyfeleket "haladéktalanul" értesíteni kell a jogsértésről. Az értesítésnek tartalmaznia kell a vállalkozás által meghozott intézkedésekre vonatkozó információkat, valamint az érintett ügyfelek számára javasolt intézkedéseket.
2012-ben várhatóan megváltozik az EU adatvédelmi irányelve, beleértve azt a követelményt is, hogy minden vállalat, nem csak az elektronikus hírközlési szolgáltatók, 24 órán belül értesítse a nemzeti hatóságokat és az érintett ügyfeleket a személyes adatok megsértéséről.
Az Egyesült Királyság adatvédelmi törvénye, amely megelőzi az EU elektronikus adatvédelmi irányelvét, átfogó követelményeket támaszt a vállalatok számára az adatok védelme érdekében, bár nem tartalmaz az adat megsértéséről szóló értesítési követelményt.
Az Egyesült Királyság Információs Biztosának Irodája (ICO), amely a törvény végrehajtásáért felel, azt mondta, hogy a társaságoknak be kell jelenteniük az ICO-nak az olyan súlyos adatsértéseket, amelyeket olyan jogsértésekként határoztak meg, amelyek az egyének számára potenciális károkat okozhatnak. Az ügynökség azt mondta, hogy elvárja az Egyesült Királyság társaságaitól, hogy 1000 vagy annál több személy titkosítatlan személyes adatainak megsértéséről értesítsék. Az ICO kijelentette, hogy nem az a felelőssége, hogy tájékoztassa az érintett fogyasztókat, de ajánlhatja, hogy a vállalat nyilvánosságra hozza a jogsértést "abban az esetben, ha ez egyértelműen az érintett személyek érdekeit szolgálja, vagy erre komoly közérdekű érvek szólnak."
Adatok megsértése és jelentéstétel
Az erősen nyilvánosságra hozott adatsértésekre és a nyilvános nyomásra reagálva az amerikai és európai jogalkotók és szabályozók fontolóra veszik azt a követelményt, hogy minden vállalat jelentést tegyen az adatsértésekről a nemzeti hatóságok és az érintett fogyasztók számára. 2012 januárjától azonban ezen erőfeszítések egyikének sem az Egyesült Államokban, sem az Európai Unióban nem voltak átfogó adatsértési értesítési törvényei és rendeletei.