Ładowanie…

Kadra kierownicza może odpowiadać za ukrywanie naruszeń danych osobowych

Możemy pamiętać rok 2014 jako Rok Naruszenia Danych. W 2017 roku doszło do najbardziej katastrofalnego w skutkach włamania w historii. A rok 2018 może być rokiem, w którym Kongres uderzy w firmy ukrywające przypadki naruszenia danych.

W zeszłym tygodniu trzech senatorów przedstawiło nowe przepisy, które wymagałyby od firm zgłaszania naruszeń danych w ciągu 30 dni, a nawet przewidywałyby karę więzienia dla kadry kierowniczej, która świadomie ukrywa naruszenie danych.

Obrona przed naruszeniem danych i ujawnianie informacji

Data Security and Breach Notification Act pojawia się po dwóch poważnych włamaniach, które nie były zgłaszane przez miesiące. Firma Equifax czekała 41 dni, aby powiadomić opinię publiczną, że nazwiska, numery ubezpieczenia społecznego, daty urodzenia, adresy, a nawet numery prawa jazdy ponad 145 milionów osób zostały narażone na niebezpieczeństwo. A Uber posunął się nawet do tego, że zapłacił hakerom za usunięcie skradzionych danych, próbując ukryć naruszenie danych z 2016 roku.

Ustawa wymagałaby od każdego „podmiotu, który jest właścicielem lub posiadaczem danych zawierających dane osobowe” „ustanowienia i wdrożenia polityki i procedur dotyczących praktyk bezpieczeństwa informacji w zakresie przetwarzania i ochrony danych osobowych”. W przypadku naruszenia bezpieczeństwa danych, ustawa wymagałaby również od firm powiadomienia każdej osoby, której informacje zostały „pozyskane lub udostępnione przez podmiot objęty ochroną w wyniku naruszenia bezpieczeństwa”, a także Federalnej Komisji Handlu.

Korporacyjne i osobiste kary cywilne i karne

Nowy wniosek będzie wspierany przez niektóre wysokie grzywny cywilne i kary kryminalne. Firmy mogłyby zostać obciążone kwotą 11 000 dolarów za każdy dzień, w którym nie zgłoszą incydentu, przy czym każda osoba, której informacje zostały naruszone, byłaby niezależnym incydentem. Tak więc, na przykład, ponieważ Equifax był 11 dni po proponowanym terminie 30 dni, to będzie $121,000 na osobę, a ponieważ było 145 milionów ludzi, którzy nie zostali powiadomieni, że grzywna balon do $17.5 bilionów. (Chociaż ustawa może zawierać limity na kary pieniężne).

Dodatkowo, każda osoba, która wie o naruszeniu danych (i wymaganiach dotyczących raportowania), która „umyślnie ukrywa fakt naruszenia bezpieczeństwa” może zostać ukarana grzywną i/lub więzieniem do pięciu lat. Będziemy musieli poczekać i zobaczyć, czy ustawa przejdzie przez Kongres, zanim będziemy mogli zobaczyć, czy ma ona wpływ na raportowanie naruszeń bezpieczeństwa danych.

Dodaj komentarz