רגולטור הפרטיות בלוקסמבורג מסביר כיצד לדווח על תקריות סייבר לפי ה-GDPR

רגולטור הפרטיות בלוקסמבורג פרסם לאחרונה תבנית לטופס דיווח על תקרית אבטחת מידע שהוכנה בהתאמה לחובות בדבר Data Breach Notifications לפי התקנות האירופיות החדשות על הגנת מידע (General Data Protection Regulation - GDPR). בין הפרטים שיש למלא בטופס הייעודי:

  1. פרטים מזהים על בעל המאגר (ה-Data Controller) ודרכים ליצירת קשר עמו
  2. פרטים על מועד התקרית, מועדי גילויה ונסיבות הגילוי
  3. מהות התקרית, מאפייניה והסיבות להתרחשותה
  4. המידע האישי בו מדובר בתקרית והיקפו
  5. מיהם נושאי המידע ומספרם המשוער
  6. השלכות התקרית ואופן ההתמודדות איתה

כזכור, ה-GDPR מטיל על בעלי מאגרים חובת דיווח לרגולטורים על תקריות אבטחת מידע בתוך 72 שעות מההתרחשות, אלא אם סביר שהתקרית לא מעוררת סיכון לנושאי המידע. לצד זאת, ה-GDPR מחייב בעלי מאגרים להחזיק תיעוד פנימי של כל תקריות אבטחת המידע, ללא יוצא מן הכלל, שיועמד לרשות הרגולטורים לפי דרישה. ה-GDPR מגדיר תקרית אבטחת מידע כאירוע שפוגע בסודיות המידע, בזמינותו או בשלמותו.

בדברי ההסבר (בצרפתית) שפרסם הרגולטור הלוקסמבורגי לצד הטופס הובהר שפעילות הפיקוח של הרגולטור ביחס לתקריות אבטחת מידע תשים דגש על הפעולות שנוקט בעל המאגר בניהול והתמודדות נאותים עם התקרית ובמסירת הודעות לנושאי המידע הנפגעים מהתקרית.

בתוך כך, פאנל הרגולטורים האירופים לפרטיות (Article 29 Working Party) פרסם לאחרונה הנחיות מעודכנות בנוגע לחובות הנובעות מתקריות אבטחת מידע לפי ה-GDPR. ההנחיות מבהירות מהי תקרית אבטחת מידע לפי ה-GDPR, מתי יש לדווח לרגולטור הפרטיות על תקרית אבטחת מידע ולאיזה רגולטור יש למסור את הדיווח, מתי ואיך לדווח לנושאי המידע ותרחישים לדוגמה בדבר חובת הדיווח.