Pozwy o naruszenie danych: jakie są konsekwencje prawne?

Opublikowany: 2022-11-07

Według Identity Theft Resource Center (ITRC) w 2021 r. zgłoszono około 1862 przypadki naruszenia danych. Liczba ta wskazuje na wzrost naruszeń o 68%, stając się tym samym poważnym problemem dla klientów, klientów i innych interesariuszy.

Niestety strata na tym się nie kończy. 34% takich przypadków zgłasza zaangażowanie pracowników korporacji. Szacowany koszt mega-naruszenia w 2021 r. osiągnął granicę 401 milionów dolarów.

Biorąc pod uwagę te liczby, nie jest niespodzianką, że firmy stają w obliczu pozwów o naruszenie danych w alarmującym tempie.

Interesariusze często ufają organizacji w zakresie ochrony poufnych informacji poprzez wdrożenie niezbędnych środków zapobiegawczych. Mimo to aktorzy wewnętrzni i osoby o złych intencjach próbują zrujnować reputację i wiarygodność firmy poprzez ujawnienie danych.

Gdy czytasz ten artykuł, prawdopodobnie Twoja organizacja została uwikłana w taki incydent. Jeśli tak, czytaj dalej, aby poznać prawne następstwa naruszenia.

Zawartość

  • 1 Definicja prawna naruszenia danych
  • 2 Jakie są przepisy stanowe w przypadku naruszenia?
  • 3 Jakie są przepisy federalne w przypadku naruszenia?
  • 4 Co powinna zrobić korporacja?
  • 5 natychmiastowych kroków, które firma musi podjąć po naruszeniu danych
    • 5.1 1. Potwierdź naruszenie
    • 5.2 2. Określ, które informacje zostały skradzione
    • 5.3 3. Zabezpiecz poświadczenia
    • 5.4 4. Poinformuj władze
    • 5.5 5. Zatrudnij prawnika
  • 6 Aby to wszystko podsumować

Prawna definicja naruszenia danych

Prawna definicja naruszenia danych

Zanim przejdziemy do konsekwencji prawnych kradzieży informacji, dowiedzmy się, jak prawo definiuje ten czyn:

„Bezprawne i nieuprawnione pozyskiwanie danych osobowych, które zagraża bezpieczeństwu, poufności lub integralności danych osobowych”.

Powszechnie ukierunkowane informacje w naruszeniu obejmują:

  • Informacje osobiste
  • Dokumentacja biznesowa
  • Dokumentacja medyczna

Warto również zauważyć, że wiele wytycznych legislacyjnych podziela wspólny pogląd, że w przypadku zaszyfrowania danych wrażliwych nie może dojść do naruszenia. Dla firm szyfrowanie jest postrzegane jako „bezpieczna przystań”. Niestety, wiele korporacji wciąż często lekceważy szyfrowanie PII (informacji umożliwiających identyfikację osoby).

Niemniej jednak firmy, które stają się celem hakerów, borykają się z wieloma poważnymi problemami, takimi jak wysokie grzywny rządowe, koszty postępowania sądowego, koszty eDiscovery, opłaty prawne i amortyzacja marki. Ta odpowiedzialność jest wieloraki, jeśli organizacje mają dostęp do PII.

Jakie są przepisy stanowe w przypadku naruszenia?

Zasady w przypadku naruszenia

W większości jurysdykcji obowiązują przepisy dotyczące powiadomień o naruszeniu. Nakazuje, aby firmy musiały jak najszybciej powiadomić wszystkie zainteresowane strony o incydencie.

Wskazuje ponadto, że przedsiębiorstwa spoza państwa, które posiadają dane osobowe swoich obywateli, muszą również przestrzegać przepisów dotyczących powiadamiania o naruszeniach. Dzieje się tak dlatego, że w trakcie procesu każde naruszenie zapisów może skutkować karami.

Jakie są przepisy federalne w przypadku naruszenia?

Przepisy federalne w przypadku naruszenia

Rząd federalny przestrzega ogólnego ogólnokrajowego prawa dotyczącego naruszenia danych. Obejmuje to ustawę o bezpieczeństwie danych i powiadamianiu o naruszeniach, która nakłada na firmy obowiązek powiadamiania klientów o naruszeniach w ciągu 30 dni. Wiedz, że ustawa przewiduje karę, a jeśli ktoś „celowo i umyślnie” ukryje naruszenie danych, może spędzić do pięciu lat w więzieniu.

Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) i ustawa Gramm-Leach-Bliley (GLBA) to dwa z bardziej znanych przepisów federalnych, które nakazują powiadamianie o naruszeniu. HIPAA dotyczy świadczeniodawców, ubezpieczycieli zdrowotnych, gabinetów lekarskich i wszelkich innych firm zajmujących się informacjami o pacjentach, podczas gdy GLBA dotyczy finansowych aspektów oszustwa.

Co powinna zrobić korporacja?

wdrażanie cyberbezpieczeństwa

Niezależnie od tego, kto ponosi winę za naruszenie — aktorzy wewnętrzni czy zawodowi hakerzy, firma zostanie pociągnięta do odpowiedzialności za incydent. Zostanie to zakwalifikowane jako przestępstwo białych kołnierzyków. Dzieje się tak, ponieważ za bezpieczeństwo wrażliwych informacji poprzez wdrażanie środków bezpieczeństwa cybernetycznego odpowiadają korporacje.

W zależności od powagi wykroczenia, może ono dotyczyć lub nie Federalnego Biura Śledczego (FBI), Komisji Papierów Wartościowych i Giełd (SEC) oraz Krajowego Stowarzyszenia Dealerów Papierów Wartościowych (NASD).

Mimo to najlepiej byłoby zatrudnić obrońcę w sprawach karnych, który ma doświadczenie w przestępstwach białych kołnierzyków. Mogą udzielić ci informacji na temat przepisów ustawowych i wykonawczych związanych ze sprawą oraz zebrać dowody, aby cię bronić.

Niewątpliwie sprawy dotyczące kradzieży tożsamości i informacji są złożone. Jednak adwokat może pomóc w dochodzeniu, przesłuchaniu oraz zeznaniach otwierających i zamykających.

Ich wiedza i doświadczenie w tej materii pomogłyby w obniżeniu kar. Mogą znaleźć dowody na to, że informacje poufne firmy są również skradzione wraz z danymi osobowymi, aby ustalić, że organizacja nie jest zaangażowana w sprawę.

Natychmiastowe kroki, które firma musi podjąć po naruszeniu danych

firma zajmująca się bezpieczeństwem cybernetycznym

1. Potwierdź naruszenie

Przede wszystkim musisz upewnić się, że do naruszenia doszło, a nie tylko do fałszywych wiadomości. W niektórych sytuacjach możesz otrzymać wiadomość phishingową z linkiem informacyjnym prowadzącym do naruszenia. Dlatego musisz być czujny, gdy masz do czynienia z takimi wiadomościami. Skontaktuj się z BOD i kierownictwem najwyższego szczebla, aby potwierdzić informacje przed podjęciem dalszych działań.

Jeśli otrzymasz wiadomość e-mail, nie klikaj w link bez potwierdzenia wiadomości.

2. Określ, które informacje zostały skradzione

Jeśli informacje są prawdziwe, określ, jakie poufne dane zostały skradzione. Zazwyczaj zaleca się szyfrowanie wszystkich informacji firmowych i uwierzytelnianie dwuskładnikowe, aby uniknąć cyberprzestępczości. Niemniej jednak osoby o złych intencjach mogą prawdopodobnie uzyskać dostęp do danych. Więc zmuś swój zespół IT do pracy i znajdź źródło oszustwa.

3. Zabezpiecz poświadczenia

Aby złagodzić już wyrządzone szkody, wykonaj poniższe czynności:

  1. Natychmiast zmień wszystkie loginy. Dodaj dwuskładnikowy lub wieloskładnikowy system uwierzytelniania, jeśli jeszcze tego nie zrobiłeś.
  2. Upewnij się, że hasło nie jest łatwe do złamania lub wcześniej używane.
  3. Sprawdź osoby, które mają już dostęp do poświadczeń. Informacje te przydałyby się podczas śledztwa i procesów sądowych.

4. Poinformuj władze

Jak wspomniano powyżej, zgodnie z prawem jesteś zobowiązany do poinformowania interesariuszy o naruszeniu. Ponadto powinieneś złożyć skargę na policję, banki i inne odpowiednie organy. Zapewni to zgodność z prawem stanowym i federalnym, a tym samym nada wagę twojemu pozwowi.

5. Zatrudnij prawnika

Wreszcie, aby się bronić, musisz zatrudnić prawnika. Ponieważ liczba przypadków naruszenia bezpieczeństwa danych drastycznie rośnie, przepisy stają się coraz bardziej rygorystyczne. Dlatego współpraca z adwokatem postawi Cię w korzystnej sytuacji i ułatwi prowadzenie sprawy. Mogą oni dalej udzielać wskazówek na temat nakazów i zakazów, aby maksymalnie obniżyć karę finansową.

Podsumowując to wszystko

Oto kilka sposobów, w jakie firma może dostosować się do konsekwencji prawnych; jednocześnie chroniąc się. Niemniej jednak najlepiej byłoby wcześniej zastosować środki bezpieczeństwa cybernetycznego, aby uniknąć takich incydentów.

Przeczytaj także:

  • Co to jest VPN: jak jest używany
  • Najlepsze usługi oczyszczania danych podstawowych w 2022 r.
  • Dwa najważniejsze powody, dla których warto porozmawiać z konsultantem IT