هذه الوحدة التعليمية هي مورد مرجعي للمحاضرين

 

قوانين الإخطار بخرق البيانات

 

على الرغم من أن العديد من البلدان لديها قوانين تفرض إشعارًا بخرق البيانات (على سبيل المثال، الفلبين، قانون خصوصية البيانات لعام 2012؛ قطر، القانون رقم (13) لعام 2016 بشأن حماية البيانات الشخصية؛ وإندونيسيا، اللائحة رقم 82 لعام 2012 بشأن أحكام النظام الإلكتروني الأنظمة والمعاملات ولائحتها التنفيذية، اللائحة رقم 20 لعام 2016 بشأن حماية البيانات الشخصية في نظام إلكتروني)، إخطارات خرق البيانات ليست إلزامية في معظم البلدان (على سبيل المثال، الأرجنتين، بيلاروسيا، كوستاريكا، مصر، اليابان، ماكاو وماليزيا ومدغشقر وموريشيوس وبنما وروسيا والمملكة العربية السعودية) و/أو إلزامية للقطاع الخاص وليس للقطاع العام في البلدان الأخرى، أو فقط لقطاعات معينة في المجتمع (مثل أنغولا وصربيا). وفي الأرجنتين، في حين أن الإخطار بخرق البيانات غير مطلوب، يتعين على الوكالات الاحتفاظ بسجلات لانتهاكات البيانات في حالة حدوثها في حالة طلبها أثناء التحقيق أو التدقيق.

هل كنت تعلم؟

قامت DLA Piper بعمل خريطة تفاعلية للعالم لقوانين حماية البيانات، بالإضافة إلى قاعدة بيانات قابلة للبحث لقوانين حماية البيانات الوطنية والإخطار بخرق البيانات

تتضمن قوانين الإخطار بخرق البيانات أحكامًا تتعلق بتطبيق هذه القوانين ، مثل الأشخاص و / أو الوكالات و / أو السلطات التي تنطبق عليها القوانين وما يعتبر انتهاكًا وفقًا لهذه القوانين. تتطلب هذه القوانين من الكيانات التي تعرضت لخرق (والتي يغطيها القانون) الاتصال بالأفراد الذين انتهكت بياناتهم والأطراف الأخرى ذات الصلة وإبلاغهم بالحادث.

تتضمن هذه القوانين بشكل خاص الطريقة التي يحدث بها الإخطار ، والمهلة الزمنية لهذا الإخطار ، والأشخاص والوكالات و / أو السلطات التي تحتاج إلى الاتصال بها بشأن الانتهاك. على سبيل المثال ، يحتوي القانون العام لحماية البيانات (GDPR) على إشعار إلزامي بخرق البيانات لمدة 72 ساعة للوصول غير المصرح به إلى الأنظمة والبيانات ، واستخدام البيانات وتوزيعها (المادة 33). يُطلب من معالجي البيانات إخطار مراقبي البيانات في غضون 72 ساعة من حدوث خرق ، كما يُطلب من مراقبي البيانات إخطار هيئة حماية البيانات الإشرافية في الدولة العضو في الاتحاد الأوروبي المتأثرة خلال نفس الفترة الزمنية.

كما تضم قوانين الإخطار بخرق البيانات أيضًا استثناءات متعلقة بالإخطار. فعلى سبيل المثال، توزيع القانون العام لحماية البيانات، يعتمد إخطار موضوع البيانات على مدى خطورة خرق البيانات (المادة 34). ولا تتطلب بعض قوانين الإخطار بخرق البيانات إخطارًا إذا تقرر أن الانتهاك لن يضر على الأرجح بالأطراف المتأثرة. في القوانين الأخرى، يحدث الإخطار عندما يصل الخرق إلى حد معين. ،و في الولايات المتحدة، يتطلب قانون التأمين الصحي لقابلية النقل والمساءلة (HIPAA) إخطار الأطراف المتأثرة في غضون 60 يومًا من الانتهاك. ومع ذلك، في الحالات التي تم فيها الوصول إلى بيانات صحية لأكثر من 500 فرد، يجب الاتصال بمكتب الحقوق المدنية التابع لوزارة الصحة والخدمات الإنسانية ووسائل الإعلام في غضون 60 يومًا من الانتهاك، بينما إذا كانت المعلومات الصحية الشخصية أقل من 500 الأشخاص الذين تم اختراقهم، لا تحتاج وسائل الإعلام إلى إخطار ويجب الاتصال بمكتب الحقوق المدنية التابع لوزارة الصحة والخدمات الإنسانية في موعد لا يتجاوز 60 يومًا بعد بداية السنة التقويمية التالية (مجلة قانون التأمين الصحي لقابلية النقل والمساءلة، 2015). 

تتطلب قوانين الإخطار بخرق البيانات في البلدان الأخرى أيضًا الكيانات التي تعالج البيانات لتنفيذ تدابير أمنية لحماية البيانات و/أو الإجراءات من جانب الكيان المخترق لتصحيح الموقف و/أو معالجة الضرر (على سبيل المثال، كندا وإندونيسيا والولايات المتحدة).

 
التالي: إنفاذ قوانين الخصوصية وحماية البيانات
العودة إلى الأعلى