Facebook Instagram Linkedin X-twitter
წიგნის დანიშვნა
ბიზნეს პროფესიონალების ჯგუფი კიბერუსაფრთხოებასა და იურიდიულ პასუხისმგებლობაზე მსჯელობს ოფისში, სადაც ნიდერლანდების ციფრული რუკაა გამოსახული უსაფრთხოების ხატულებით.

კიბერუსაფრთხოება და პასუხისმგებლობა ნიდერლანდებში: მონაცემთა დარღვევის პასუხისმგებლობის ახსნა

ბლოგი /

ნიდერლანდებში მონაცემთა დარღვევები ყოველდღიურად ხდება. როდესაც ეს ხდება, ვიღაცამ უნდა მიიღოს ზომები. პასუხისმგებლობა.

ნიდერლანდების კანონმდებლობისა და GDPR-ის თანახმად, ორგანიზაციები, რომლებიც აკონტროლებენ პერსონალურ მონაცემებს, ძირითადად პასუხისმგებელნი არიან მათ დაცვასა და მათ წინაშე დგომაზე. მნიშვნელოვანი პასუხისმგებლობა როდესაც დარღვევები ხდება. თუ თქვენი ბიზნესი განიცდის cyberattack, თქვენ შეიძლება დაგეკისროთ 20 მილიონ ევრომდე ჯარიმა ან თქვენი გლობალური წლიური ბრუნვის 4%-ის ოდენობა, იმისდა მიხედვით, თუ რომელი თანხაა უფრო მაღალი.

ნიდერლანდებში მოქმედი ნებისმიერი ორგანიზაციისთვის აუცილებელია იმის გაგება, თუ ვის ეკისრება პასუხისმგებლობა მონაცემთა გაჟონვის შემდეგ. პასუხი ყოველთვის არ არის მარტივი, რადგან პასუხისმგებლობა შეიძლება გავრცელდეს თქვენი კომპანიის ფარგლებს გარეთ და მოიცავდეს მესამე მხარის მომსახურების მიმწოდებლებს, თანამშრომლებს და მონაცემთა დამუშავებაში ჩართულ სხვა მხარეებს.

ნიდერლანდების მონაცემთა დაცვის ორგანო და სხვა მარეგულირებელი ორგანოები პასუხისმგებლობას განსაზღვრავენ თქვენი, როგორც მონაცემთა კონტროლიორის ან დამმუშავებლის, როლის, თქვენს მიერ მიღებული უსაფრთხოების ზომების და ინციდენტზე თქვენი რეაგირების სისწრაფის საფუძველზე.

ეს სტატია აანალიზებს ნიდერლანდებში კიბერუსაფრთხოების მარეგულირებელ სამართლებრივ ჩარჩოს და განმარტავს, თუ როგორ ენიჭება პასუხისმგებლობა დარღვევის შემდეგ. თქვენ გაეცნობით თქვენს შეტყობინების ვალდებულებებს, დარღვევისთვის გათვალისწინებულ ჯარიმებს და პრაქტიკულ ნაბიჯებს, რომელთა გადადგმაც შეგიძლიათ თქვენი ორგანიზაციის კიბერშეტევებისა და სამართლებრივი შედეგებისგან დასაცავად.

კიბერუსაფრთხოებისა და მონაცემთა დაცვის სამართლებრივი ჩარჩო

პროფესიონალთა ჯგუფი ოფისში ლეპტოპებითა და ქსელური კავშირების ამსახველი ნიდერლანდების ციფრული რუკით განიხილავს კიბერუსაფრთხოებასა და იურიდიულ საკითხებს.

ნიდერლანდები კიბერუსაფრთხოებისა და მონაცემთა დაცვის კანონმდებლობის მრავალი ფენის ფარგლებში მოქმედებს, რაც ევროკავშირის მასშტაბით მოქმედ რეგულაციებს ეროვნულ აღმასრულებელ კანონმდებლობასთან აერთიანებს. ეს კანონები პერსონალური მონაცემების დამმუშავებელი და კრიტიკული ინფრასტრუქტურის მმართველი ორგანიზაციებისთვის მკაფიო ვალდებულებებს აწესებს.

ისინი ქმნიან სპეციფიკურ მოთხოვნებს სხვადასხვა სექტორისთვის, მათ შორის ტელეკომუნიკაციებისთვის, ფინანსებისთვის და სამართალი აღსრულება.

ზოგადი მონაცემთა დაცვის რეგულაცია (GDPR) და ნიდერლანდების იმპლემენტაცია

ის GDPR ემსახურება როგორც პირველადი მონაცემთა დაცვის ჩარჩო ევროკავშირის მასშტაბით, მათ შორის ნიდერლანდებში. ის ადგენს პერსონალური მონაცემების დამუშავების ყოვლისმომცველ წესებს და მოითხოვს ორგანიზაციებისგან ინფორმაციის დასაცავად შესაბამისი ტექნიკური და ორგანიზაციული ზომების განხორციელებას.

ნიდერლანდებმა GDPR-ის დანერგვა შემდეგი გზით განახორციელეს: ნიდერლანდების GDPR-ის განხორციელების აქტი (საშუალო მაჩვენებელი), რომელიც ევროკავშირის მოთხოვნებს ნიდერლანდების კანონმდებლობას ადაპტირებს. ეს კანონი ითვალისწინებს კონკრეტულ დებულებებს ეროვნული გარემოებებისთვის, ამავდროულად ინარჩუნებს ევროპულ სტანდარტებთან შესაბამისობას.

ის განსაზღვრავს ნიდერლანდების მონაცემთა დაცვის ორგანოს (პერსონალური მონაცემების უფლებამოსილება), როგორც აღსრულებაზე პასუხისმგებელი საზედამხედველო ორგანო.

GDPR-ის თანახმად, თქვენ უნდა შეატყობინოთ მონაცემები არღვევს საზედამხედველო ორგანოს მათი შესახებ შეტყობინებიდან 72 საათის განმავლობაში. როდესაც დარღვევები ინდივიდების უფლებებისა და თავისუფლებებისთვის მაღალ რისკს წარმოადგენს, თქვენ ასევე დაუყოვნებლივ უნდა აცნობოთ დაზარალებულ პირებს.

ეს შეტყობინების მოთხოვნები ნიდერლანდებში დარღვევის პასუხისმგებლობის საფუძველს წარმოადგენს.

ის Verzamelwet Gegevensbescherming (კოლექტიური მონაცემთა დაცვის შესახებ კანონი) კიდევ უფრო აზუსტებს ნიდერლანდების სხვადასხვა კანონს GDPR სტანდარტებთან შესაბამისობაში მოსაყვანად. ეს უზრუნველყოფს თანმიმდევრულობას სხვადასხვა სამართლებრივ სფეროებში.

კიბერუსაფრთხოების შესახებ კანონი და NIS2 დირექტივა

ის NIS2 დირექტივა მნიშვნელოვნად აფართოებს კიბერუსაფრთხოების მოთხოვნებს ევროკავშირის მასშტაბით აუცილებელი და მნიშვნელოვანი სუბიექტებისთვის. ნიდერლანდები ამ დირექტივას ახორციელებს განახლებების მეშვეობით. კიბერ-მეთვალყურეობა (ნიდერლანდების კიბერუსაფრთხოების აქტი), რომელმაც თავდაპირველად პირველი ეროვნული უსაფრთხოების დირექტივა გადაიტანა.

NIS2 აფართოებს დაფარული სექტორების ფარგლებს და ნერგავს უფრო მკაცრ უსაფრთხოების მოთხოვნებს, ინციდენტების შესახებ ანგარიშგების ვალდებულებებს და მენეჯმენტის ანგარიშვალდებულების დებულებებს. თქვენ ვალდებული ხართ განახორციელოთ კონკრეტული რისკების მართვის ზომები და მნიშვნელოვანი ინციდენტების შესახებ შეატყობინოთ მათ შესახებ შეტყობინებიდან 24 საათის განმავლობაში.

ის ქსელისა და ინფორმაციული სისტემების უსაფრთხოების შესახებ კანონი და თანმხლები ქსელისა და ინფორმაციული სისტემების უსაფრთხოების დადგენილება დაადგინოს დეტალური მოთხოვნები აუცილებელი სერვისების ოპერატორებისა და ციფრული სერვისების მიმწოდებლებისთვის. ეს კანონები ავალდებულებს საბაზისო უსაფრთხოების ზომებს, რეგულარულ აუდიტს და კოორდინაციას ეროვნულ კიბერუსაფრთხოების ორგანოებთან.

კანონმდებლობა სხვადასხვა სექტორისთვის განსაზღვრავს კონკრეტულ კომპეტენტურ ორგანოებს. ეს უზრუნველყოფს კიბერუსაფრთხოების პრაქტიკის სპეციალიზებულ ზედამხედველობას.

სხვა შესაბამისი კანონები და დირექტივები

ის ევროკავშირის ელექტრონული კონფიდენციალურობის დირექტივა ავსებს GDPR-ს ელექტრონული კომუნიკაციების კონფიდენციალურობის უზრუნველყოფით. ის მოითხოვს თანხმობას ქუქი-ფაილების და მსგავსი ტექნოლოგიების გამოყენებაზე და იცავს კომუნიკაციის მონაცემების კონფიდენციალურობას.

ის ტელეკომუნიკაციების აქტი (ტელეკომუნიკაციური ქსელი) ტელეკომუნიკაციების პროვაიდერებს აკისრებს კონკრეტულ უსაფრთხოების ვალდებულებებს, მათ შორის ქსელის მთლიანობისა და მომხმარებლის მონაცემების დაცვის მოთხოვნებს. ეს აქტი მონაცემთა დაცვის შესახებ კანონებთან ერთად მუშაობს კომუნიკაციების სექტორში ყოვლისმომცველი დაცვის უზრუნველსაყოფად.

ის კრიტიკული ერთეულების მდგრადობის აქტი (CRA) აძლიერებს ფიზიკური და კიბერუსაფრთხოების მოთხოვნებს იმ სუბიექტებისთვის, რომლებიც კრიტიკულად მიიჩნევიან საზოგადოებრივი უსაფრთხოებისა და ეკონომიკური სტაბილურობისთვის. ის მოითხოვს რისკების შეფასებას და მდგრადობის ზომებს სტანდარტული კიბერუსაფრთხოების დებულებების მიღმა.

ეს ჩარჩოები ქმნის გადაფარვის ვალდებულებებს. თქვენ უნდა გადახვიდეთ მათში, როდესაც ოპერირებთ რამდენიმე სექტორში ან ამუშავებთ სხვადასხვა ტიპის მონაცემებს.

სექტორის სპეციფიკური რეგულაციები

ის ფინანსური ზედამხედველობის შესახებ კანონი (Wet op het financieel toezicht) ადგენს მკაცრ კიბერუსაფრთხოებისა და მონაცემთა დაცვის მოთხოვნებს ფინანსური ინსტიტუტებისთვის. ფინანსურ სექტორში ოპერირებისას თქვენ უნდა დანერგოთ უსაფრთხოების ძლიერი კონტროლი, ინციდენტებზე რეაგირების პროცედურები და რეგულარული ტესტირების პროტოკოლები.

სამართალდამცავი ორგანიზაციები სპეციალიზებული მოთხოვნების წინაშე დგანან, რომლებიც პოლიციის მონაცემთა აქტი (სველი პოლიტიეგეგევენები) და სველი justitiële en strafvorderlijke gegevens (სასამართლო და სისხლის სამართლის საპროცესო მონაცემების შესახებ კანონი). ეს კანონები არეგულირებს, თუ როგორ აგროვებენ, ამუშავებენ და იცავენ პოლიცია და სასამართლო ორგანოები პერსონალურ მონაცემებს გამოძიებისა და სისხლის სამართლის საქმის წარმოების დროს.

ჯანდაცვის პროვაიდერებმა სტანდარტული GDPR მოთხოვნების გარდა, უნდა დაიცვან კონფიდენციალურობის დამატებითი დაცვის ზომები. ეს ასახავს სამედიცინო ინფორმაციის მგრძნობიარე ბუნებას.

ენერგეტიკის, ტრანსპორტისა და წყლის სექტორებს NIS2-ის განხორციელების ფარგლებში კონკრეტული ვალდებულებები ეკისრებათ, რაც მათი ოპერაციული რისკების შესაბამისად მორგებული უსაფრთხოების ზომებით არის განპირობებული.

თითოეული სექტორის სპეციფიკური რეგულაცია უნიკალურ შესაბამისობის ტვირთს აწესებს. აუცილებელია იმის დადგენა, თუ რომელი კანონები ვრცელდება თქვენი ორგანიზაციის კონკრეტულ საქმიანობასა და მონაცემთა დამუშავების ოპერაციებზე.

პასუხისმგებლობის მინიჭება მონაცემთა გაჟონვის შემდეგ

პროფესიონალთა ჯგუფი თანამედროვე ოფისში კიბერუსაფრთხოებასა და პასუხისმგებლობაზე მსჯელობს, სადაც ციფრული ეკრანები მონაცემთა დარღვევის გრაფიკას აჩვენებს.

ნიდერლანდებში მონაცემთა დარღვევისთვის პასუხისმგებლობა დამოკიდებულია თქვენს როლზე პერსონალური მონაცემების დამუშავებაში, უსაფრთხოების ზომები თქვენ მიერ განხორციელებული და დაიცავი თუ არა ანგარიშგების მოთხოვნები. ნიდერლანდების მონაცემთა დაცვის ორგანო და სხვა საზედამხედველო ორგანოები განსაზღვრავენ პასუხისმგებლობას შემდეგის საფუძველზე: იურიდიული ვალდებულებები GDPR-ისა და ეროვნული კიბერუსაფრთხოების კანონმდებლობის შესაბამისად.

პასუხისმგებლობის განსაზღვრა: კონტროლიორები, დამმუშავებლები და მესამე მხარეები

თქვენი პასუხისმგებლობა მას შემდეგ, რაც პერსონალური მონაცემების დარღვევა დამოკიდებულია იმაზე, იმოქმედებ თუ არა როგორც მონაცემთა კონტროლიორი ან დამმუშავებელი. კონტროლიორები წყვეტენ, თუ როგორ და რატომ მუშავდება პერსონალური მონაცემები, რაც მათ უპირველეს ყოვლისა უსაფრთხოების ინციდენტებზე პასუხისმგებლობას აკისრებს.

დამმუშავებლები მონაცემებს ამუშავებენ კონტროლერების სახელით და პასუხისმგებლობის წინაშე დგანან, თუ ისინი გადააჭარბებენ ინსტრუქციებს ან ვერ განახორციელებენ ადეკვატურ უსაფრთხოების ზომებს.

მესამე მხარეებს, როგორიცაა ციფრული სერვისის მიმწოდებლები, ცალკე პასუხისმგებლობა ეკისრებათ. თუ გარე მომწოდებლებს იყენებთ, თქვენ რჩებით პასუხისმგებელი მათ ქმედებებზე, როდესაც ისინი თქვენი სახელით ამუშავებენ მონაცემებს.

თქვენს კონტრაქტებში უნდა იყოს მითითებული უსაფრთხოების ვალდებულებები და ინციდენტების მოგვარების პროცედურები.

როდესაც საქმეში რამდენიმე მხარეა ჩართული, პასუხისმგებლობა შეიძლება გაზიარებული იყოს. თუ თქვენც და თქვენმა დამმუშავებელმაც ვერ განახორციელეთ ტექნიკური და ორგანიზაციული ზომები, შესაძლოა, ორივეს დაეკისროთ ჯარიმები პერსონალური მონაცემების მართვის ორგანოს მხრიდან.

სამეთვალყურეო ორგანო იკვლევს თითოეული მხარის როლს დარღვევაში პასუხისმგებლობის დასადგენად.

საზედამხედველო ორგანოები და მარეგულირებელი როლები

ნიდერლანდების პერსონალური მონაცემების დაცვის ორგანო წარმოადგენს ნიდერლანდების მონაცემთა დაცვის ორგანოს, რომელიც პასუხისმგებელია GDPR-ის შესაბამისობის აღსრულებაზე. თქვენ უნდა აცნობოთ პერსონალური მონაცემების დარღვევის შესახებ ამ საზედამხედველო ორგანოს ინციდენტის შესახებ შეტყობინებიდან 72 საათის განმავლობაში.

ინციდენტების შესახებ შეტყობინების ვადების შეუსრულებლობა ზრდის თქვენს პასუხისმგებლობას.

ეროვნული კიბერუსაფრთხოების ცენტრი (NCSC) უფრო ფართო საკითხებს აგვარებს. კიბერ უსაფრთხოების საფრთხეები რაც გავლენას ახდენს აუცილებელი სერვისების ოპერატორებზე. თუ თქვენ უზრუნველყოფთ კრიტიკულ ინფრასტრუქტურას ან ციფრულ სერვისებს, ასევე უნდა აცნობოთ NCSC-ს მნიშვნელოვანი უსაფრთხოების ინციდენტების შესახებ.

ეს ანგარიშები ხელს უწყობს კიბერ საფრთხეებზე ეროვნული რეაგირების კოორდინაციას.

ორივე ორგანო უსაფრთხოების ინციდენტების შემდეგ გამოძიებას ატარებს. Autoriteit Persoonsgegevens-ს შეუძლია დააკისროს ჯარიმები 20 მილიონ ევრომდე ან თქვენი წლიური გლობალური ბრუნვის 4%-მდე, რომელიც უფრო მაღალია.

ისინი ითვალისწინებენ ისეთ ფაქტორებს, როგორიცაა დარღვევის ხასიათი, დაზარალებული პირების რაოდენობა და თქვენი რეაგირების ზომები.

ENISA-ს სახელმძღვანელო პრინციპები გავლენას ახდენს იმაზე, თუ როგორ აფასებენ ნიდერლანდების ხელისუფლება თქვენს კიბერუსაფრთხოების მოთხოვნებთან შესაბამისობას.

ორგანიზაციული და ტექნიკური ზომები

თქვენ მიერ ტექნიკური და ორგანიზაციული ზომების განხორციელება პირდაპირ გავლენას ახდენს პასუხისმგებლობის განსაზღვრაზე. ეს ზომები მოიცავს დაშიფვრას, წვდომის კონტროლს, რეგულარულ უსაფრთხოების ტესტირებას და პერსონალის ტრენინგს.

სასამართლოები და საზედამხედველო ორგანო აფასებენ, იყო თუ არა თქვენი უსაფრთხოება შესაბამისი არსებული რისკებისთვის.

თქვენ უნდა დააფიქსიროთ თქვენი უსაფრთხოების ზომები და წარმოადგინოთ ბიზნესის უწყვეტობის დაგეგმვა. თუ ვერ დაამტკიცებთ ადეკვატურ სიფრთხილის ზომებს, პასუხისმგებლობა მნიშვნელოვნად იზრდება.

რეგულარული რისკების შეფასება დაგეხმარებათ დარღვევების მოხდენამდე დაუცველობის იდენტიფიცირებაში.

ინციდენტების დამუშავების პროცედურები უმნიშვნელოვანესია. პერსონალური მონაცემების დარღვევის გამოვლენის, გამოძიების და მათზე რეაგირების მკაფიო პროტოკოლები გჭირდებათ.

თქვენი რეაგირების დრო და უსაფრთხოების ინციდენტების შეკავების ეფექტურობა გავლენას ახდენს ჯარიმების შესახებ გადაწყვეტილებებზე.

პერსონალური ინფორმაციის სააგენტო თქვენგან მოითხოვს თქვენი უსაფრთხოების ჩარჩოს დამადასტურებელი მტკიცებულებების შენარჩუნებას. სათანადო დოკუმენტაციის გარეშე, გამოძიების დროს გონივრული ზრუნვის დამტკიცება რთული ხდება.

მიწოდების ჯაჭვისა და მომსახურების მიმწოდებლების გავლენა

მიწოდების ჯაჭვის უსაფრთხოება ქმნის პასუხისმგებლობის რთულ საკითხებს. როდესაც თქვენი სერვისის პროვაიდერები აწყდებიან თქვენს მონაცემებზე მოქმედ დარღვევებს, თქვენ მაინც შეიძლება წააწყდეთ შედეგებს.

თქვენ უნდა ჩაატაროთ მომწოდებლების სათანადო შემოწმება და მუდმივად აკონტროლოთ მათი უსაფრთხოების პრაქტიკა.

აუცილებელი სერვისების ოპერატორებს მომწოდებლების მართვის უფრო მკაცრი მოთხოვნები ეკისრებათ. თქვენ უნდა უზრუნველყოთ, რომ თქვენს მიწოდების ჯაჭვში ციფრული სერვისების მიმწოდებლებმა შეინარჩუნონ თქვენივე ვალდებულებების შესაბამისი სტანდარტები.

სახელშეკრულებო შეთანხმებებში ნათლად უნდა იყოს განსაზღვრული ინციდენტების შესახებ ანგარიშგების მოვალეობები და პასუხისმგებლობის განაწილება.

თუ დარღვევა თქვენი მიწოდების ჯაჭვიდან მომდინარეობს, პერსონალის მართვის ორგანო ამოწმებს, ჩაატარეთ თუ არა მომწოდებლების სათანადო შეფასებები. თქვენი პასუხისმგებლობა დამოკიდებულია იმაზე, გადადგით თუ არა გონივრული ნაბიჯები მომწოდებლის უსაფრთხოების დასადასტურებლად.

თქვენ არ შეგიძლიათ პასუხისმგებლობის სრულად დელეგირება მესამე მხარის პროცესორების გამოყენების შემთხვევაშიც კი.

მრავალდონიანი მიწოდების ჯაჭვები დამატებით სიფხიზლეს მოითხოვს. თქვენ გჭირდებათ ქვე-დამმუშავებლებისა და მათი უსაფრთხოების ზომების ხილვადობა, რათა დაიცვათ თავი კასკადური ჩავარდნებისგან, რომლებიც საფრთხეს უქმნის პერსონალურ მონაცემებს მრავალ ორგანიზაციაში.

მონაცემთა დარღვევის შესახებ შეტყობინების ვალდებულებები

ნიდერლანდები GDPR-ისა და ეროვნული კიბერუსაფრთხოების კანონმდებლობის შესაბამისად მრავალშრიანი შეტყობინებების ჩარჩოს ნერგავს. კონტროლიორებმა უნდა დარღვევების შესახებ ინფორმაციის მიწოდება პერსონალურ მონაცემთა ორგანოს (PDA) 72 საათის განმავლობაში, როდესაც არსებობს რისკი მონაცემთა სუბიექტის უფლებები.

მაღალი რისკის მქონე დარღვევები დაზარალებული პირებისთვის პირდაპირი შეტყობინების საჭიროება.

ვადები და პროცედურული მოთხოვნები

თქვენ უნდა აცნობოთ PDA-ს დაუყოვნებლივ და, შესაძლებლობის შემთხვევაში, პერსონალური მონაცემების დარღვევის შესახებ ინფორმაციის მიღებიდან არაუგვიანეს 72 საათისა. ეს ვალდებულება მოქმედებს იმ შემთხვევაში, თუ დარღვევა, სავარაუდოდ, საფრთხეს არ შეუქმნის ფიზიკური პირების უფლებებსა და თავისუფლებებს.

შეტყობინება, შესაძლებლობის შემთხვევაში, უნდა შეიცავდეს კონკრეტულ ინფორმაციას. თქვენ უნდა მიუთითოთ შესაბამისი მონაცემთა სუბიექტების კატეგორიები და სავარაუდო რაოდენობა, დაზარალებული პერსონალური მონაცემების ჩანაწერების კატეგორიები და სავარაუდო რაოდენობა, ასევე თქვენი მონაცემთა დაცვის ოფიცრის ან სხვა საკონტაქტო პირის სახელი.

ასევე უნდა აღწეროთ დარღვევის სავარაუდო შედეგები და მის აღმოსაფხვრელად მიღებული ან შემოთავაზებული ზომები.

თუ 72-საათიან ფანჯარაში ვერ მოგვაწვდით ყველა საჭირო ინფორმაციას, შეგიძლიათ ის ეტაპობრივად წარადგინოთ. თავდაპირველ შეტყობინებაში ნებისმიერი დაგვიანების მიზეზები უნდა ახსნათ.

ვის უნდა ეცნობოს და როდის

თქვენ პირდაპირ უნდა აცნობოთ დაზარალებულ მონაცემთა სუბიექტებს, როდესაც პერსონალური მონაცემების დარღვევა, სავარაუდოდ, მათ უფლებებსა და თავისუფლებებს მაღალ რისკს შეუქმნის. ეს შეტყობინება უნდა მოხდეს გაუმართლებელი დაგვიანების გარეშე და გამოყენებული უნდა იყოს მკაფიო და გასაგები ენა.

მონაცემთა სუბიექტებისთვის პირდაპირი შეტყობინება სამ კონკრეტულ შემთხვევაში არ არის საჭირო. თქვენ არ გჭირდებათ შეტყობინება, თუ დანერგეთ შესაბამისი ტექნიკური და ორგანიზაციული დაცვის ზომები (მაგალითად, დაშიფვრა), რომლებიც მონაცემებს არაავტორიზებული პირებისთვის გაუგებარს ხდის.

ასევე, არ არის საჭირო შეტყობინება, თუ მიიღეთ შემდგომი ზომები იმის უზრუნველსაყოფად, რომ მონაცემთა სუბიექტის უფლებებისთვის მაღალი რისკის წარმოშობის ალბათობა აღარ იყოს მაღალი, ან თუ პირდაპირი კომუნიკაცია არაპროპორციულ ძალისხმევას მოითხოვდა. ასეთ შემთხვევებში, საჭიროა საჯარო კომუნიკაცია ან მსგავსი ზომების მიღება.

ფინანსური ზედამხედველობის შესახებ კანონის თანახმად, ფინანსური კომპანიები თავისუფლდებიან მონაცემთა სუბიექტისთვის შეტყობინების ვალდებულებისგან. ისინი მაინც ვალდებულნი არიან ანგარიშგება წარუდგინონ PDA-ს.

დამმუშავებლებს განსხვავებული ვალდებულებები აქვთ. თქვენ უნდა აცნობოთ კონტროლერს დაუყოვნებლივ, პერსონალური მონაცემების დარღვევის შესახებ ინფორმაციის მიღების შემდეგ, რისკის დონის მიუხედავად.

ეს არის როგორც GDPR-ის კანონით გათვალისწინებული მოთხოვნა, ასევე უნდა იყოს შეტანილი თქვენს დამუშავების შეთანხმებაში.

სექტორული და ეროვნული შეტყობინების მოთხოვნები

GDPR-ის ვალდებულებების გარდა, თქვენი სექტორიდან გამომდინარე, შესაძლოა დამატებითი ანგარიშგების მოთხოვნების წინაშე აღმოჩნდეთ. ქსელური და ინფორმაციული სისტემების უსაფრთხოების აქტი (WBNI) გარკვეულ სუბიექტებს ავალდებულებს, უსაფრთხოების ინციდენტების შესახებ კიბერუსაფრთხოების ორგანოებს აცნობონ, მაშინაც კი, როდესაც ეს ინციდენტები პერსონალური მონაცემების დარღვევად არ კვალიფიცირდება.

საზოგადოებრივი ელექტრონული საკომუნიკაციო ქსელების პროვაიდერები ვალდებულნი არიან, ანგარიში წარუდგინონ ადამიანის გარემოსა და ტრანსპორტის ინსპექტორატს (ILT). ჯანდაცვის ორგანიზაციები ვალდებულნი არიან, აცნობონ ჯანმრთელობისა და ახალგაზრდობის მზრუნველობის ინსპექტორატს სამედიცინო მოწყობილობების უსაფრთხოებაზე ან პაციენტის მონაცემებზე მოქმედი ინციდენტების შესახებ.

ფინანსური მომსახურების კომპანიები ვალდებულნი არიან დაიცვან ფინანსური ზედამხედველობის კანონმდებლობით გათვალისწინებული სექტორის სპეციფიკური მოთხოვნები.

კრიტიკული ინფრასტრუქტურის პროვაიდერებს WBNI-ის მიხედვით გაზრდილი ვალდებულებები აქვთ. თქვენ უნდა აცნობოთ კომპიუტერული უსაფრთხოების ინციდენტებზე რეაგირების ჯგუფს (CSIRT) მნიშვნელოვანი ინციდენტების შესახებ, რომლებმაც შეიძლება მნიშვნელოვნად შეაფერხოს არსებითი სერვისები.

საჯარო კომპანიებს შეიძლება დასჭირდეთ უსაფრთხოების ინციდენტების შესახებ შეტყობინება, რომლებმაც შეიძლება მნიშვნელოვნად იმოქმედოს ინვესტორების გადაწყვეტილებებზე.

ეს სექტორული მოთხოვნები ხშირად GDPR ვალდებულებებთან ერთად მოქმედებს და არა მათ ცვლის. შესაძლოა, ერთი ინციდენტისთვის სხვადასხვა ორგანოსთვის რამდენიმე შეტყობინების გაგზავნა დაგჭირდეთ, რაც დამოკიდებულია თქვენი ორგანიზაციის საქმიანობასა და დარღვევის ბუნებაზე.

აღსრულება და სანქციები შეუსრულებლობისთვის

ნიდერლანდების ხელისუფლებას აქვს მკაფიო უფლებამოსილება, გამოიძიოს კიბერუსაფრთხოების ხარვეზები და დააკისროს მნიშვნელოვანი ფინანსური ჯარიმები იმ ორგანიზაციებს, რომლებიც ვერ იცავენ პერსონალურ მონაცემებს ან ვერ აკმაყოფილებენ უსაფრთხოების მოთხოვნებს.

აღსრულების ჩარჩო მოიცავს რამდენიმე მარეგულირებელს კონკრეტული ზედამხედველობის პასუხისმგებლობებით, სტრუქტურირებული საჯარიმო სქემებით და განსაზღვრული სააპელაციო პროცედურებით იმ ორგანიზაციებისთვის, რომლებიც სანქციების წინაშე დგანან.

გამოძიებისა და ზედამხედველობის უფლებამოსილებები

ნიდერლანდების მონაცემთა დაცვის ორგანოს (Autoriteit Persoonsgegevens, ან AP) ეკისრება მონაცემთა დარღვევისა და GDPR-ის დარღვევების გამოძიების ძირითადი პასუხისმგებლობა.

AP-ს შეუძლია გამოძიების დაწყება საჩივრების, მედიის რეპორტაჟების ან რუტინული აუდიტის საფუძველზე.

გამოძიების დროს, ორგანოს შეუძლია მოითხოვოს დოკუმენტაცია, ჩაატაროს ადგილზე შემოწმება და გაესაუბროს პერსონალს.

ახალი კიბერუსაფრთხოების შესახებ კანონით გათვალისწინებული კიბერუსაფრთხოების ვალდებულებებისთვის ზედამხედველობას სექტორული მარეგულირებელი ორგანოები ახორციელებენ.

მომხმარებელთა და ბაზრების ორგანო (ACM) ზედამხედველობას უწევს ციფრულ ინფრასტრუქტურასა და ტელეკომუნიკაციების პროვაიდერებს.

ნიდერლანდების ცენტრალური ბანკი (DNB) ზედამხედველობას უწევს ფინანსურ ინსტიტუტებს.

ეკონომიკური და კლიმატის მინისტრი, ინფრასტრუქტურისა და წყალმომარაგების მინისტრი და ჯანდაცვის მინისტრი თითოეულს აქვს აღსრულების უფლებამოსილება თავიანთ სექტორებში.

ამ მარეგულირებლებს შეუძლიათ თქვენი სისტემების აუდიტი, ინციდენტებზე რეაგირების პროცედურების განხილვა და იმის შეფასება, აკმაყოფილებს თუ არა თქვენი რისკების მართვა სამართლებრივ სტანდარტებს.

დარღვევების აღმოჩენის შემთხვევაში, მათ ასევე შეუძლიათ თქვენი ორგანიზაციიდან აღსრულების ხარჯების ამოღება.

ეროვნული კიბერუსაფრთხოების ცენტრი (NCSC) კოორდინაციას უწევს მარეგულირებლებს შორის ურთიერთქმედებას, მაგრამ პირდაპირ არ აწესებს ჯარიმებს.

ადმინისტრაციული და ფინანსური ჯარიმები

ფინანსური ჯარიმები განსხვავდება სამართლებრივი ჩარჩოსა და დარღვევების სიმძიმის მიხედვით.

GDPR-ის აღსრულების თანახმად, AP-ს შეუძლია დააკისროს ჯარიმები 20 მილიონ ევრომდე ან თქვენი წლიური გლობალური ბრუნვის 4%-მდე, რომელიც უფრო მაღალია.

ორგანო ითვალისწინებს ისეთ ფაქტორებს, როგორიცაა დარღვევის ხასიათი, დაზარალებული პირების რაოდენობა და თქვენი თანამშრომლობა გამოძიების დროს.

კიბერმზრუნველობის შესახებ კანონის თანახმად, სასჯელები ეტაპობრივ სტრუქტურას მიჰყვება:

ერთეულის კლასიფიკაცია მაქსიმალური ჯარიმა ბრუნვის ალტერნატივა
არსებითი მთლიანობა (EE) € 10 მილიონი 2% გლობალური ბრუნვა
ბელანგრიული მთლიანობა (BE) € 7 მილიონი 1.4% გლობალური ბრუნვა

მარეგულირებლებს ასევე შეუძლიათ გასცენ კორექტირების ბრძანებები, რომლებიც მოითხოვს თქვენგან კონკრეტული უსაფრთხოების ზომების განხორციელებას დადგენილ ვადებში.

განმეორებითმა წარუმატებლობებმა შეიძლება გამოიწვიოს დარღვევების საჯაროდ გამჟღავნების გზით დასახელება და შერცხვენა.

მძიმე შემთხვევებში, აუცილებელ სუბიექტებად კლასიფიცირებული ორგანიზაციების დირექტორებს შეიძლება საბჭოში თანამდებობებიდან პირადი დისკვალიფიკაცია დაეკისროთ.

საჯარო სექტორის ორგანიზაციები თავისუფლდებიან ფინანსური ჯარიმებისგან, თუმცა მათ ემუქრებიან კორექტირებადი აღსრულების ზომები და პოტენციური საპარლამენტო კონტროლი.

სამართლებრივი რესურსები და სააპელაციო საჩივრები

თქვენ გაქვთ უფლება გაასაჩივროთ აღსრულების გადაწყვეტილებები შემდეგი გზით: ადმინისტრაციული სააპელაციო საჩივრები.

ჯარიმის შესახებ შეტყობინების მიღების შემდეგ, ექვსი კვირის განმავლობაში შეგიძლიათ გამცემ ორგანოს წარუდგინოთ საჩივარი (bezwaar).

მარეგულირებელმა ორგანომ უნდა გადახედოს თავის გადაწყვეტილებას და ოფიციალური პასუხი გასცეს.

თუ არ ეთანხმებით ხელახალი განხილვის შედეგს, შეგიძლიათ გაასაჩივროთ რაიონულ სასამართლოში (rechtbank).

სასამართლო ამოწმებს, დაიცვა თუ არა მარეგულირებელმა სათანადო პროცედურები და სწორად გამოიყენა თუ არა კანონი.

შემდეგ შეგიძლიათ სააპელაციო სასამართლოს გადაწყვეტილებები სახელმწიფო საბჭოს ადმინისტრაციული იურისდიქციის სამმართველოს (Afdeling bestuursrechtspraak van de Raad van State), რომელიც მოქმედებს როგორც უმაღლესი ადმინისტრაციული სასამართლო.

სააპელაციო პროცესის განმავლობაში, თქვენ უნდა გააგრძელოთ მარეგულირებლების მიერ დაკისრებული ნებისმიერი კორექტირების ზომების განხორციელება.

სასამართლოებს შეუძლიათ შეაჩერონ ფინანსური ჯარიმები სააპელაციო საჩივრის შედეგების განხილვამდე, თუმცა ეს ავტომატურად არ ხდება.

კიბერუსაფრთხოების მენეჯმენტში ძირითადი როლები და პასუხისმგებლობები

ორგანიზაციებმა ნათლად უნდა განსაზღვრონ, თუ ვინ მართავს კიბერუსაფრთხოების ამოცანებს, მონაცემთა დაცვის ოფიცრების დანიშვნიდან დაწყებული, საბჭოს დონეზე ანგარიშვალდებულების დაწესებითა და თანამშრომლების უსაფრთხოების პროტოკოლების შესახებ ტრენინგით დამთავრებული.

მონაცემთა დაცვის ოფიცრები და დანიშვნები

თქვენ უნდა დანიშნოთ მონაცემთა დაცვის ოფიცერი (DPO), თუ თქვენი ორგანიზაცია მასშტაბურად ამუშავებს მგრძნობიარე პერსონალურ მონაცემებს ან სისტემატურად აკონტროლებს პირებს.

მონაცემთა დაცვის ორგანო (DPO) წარმოადგენს თქვენს ძირითად საკონტაქტო პირს მონაცემთა დაცვის ორგანოებთან და მონაცემთა სუბიექტებთან.

თქვენს მონაცემთა დაცვის ოფიცერს (DPO) სჭირდება კონკრეტული კვალიფიკაცია მონაცემთა დაცვის კანონმდებლობასა და ინფორმაციული უსაფრთხოების პრაქტიკაში.

ისინი უშუალოდ თქვენი უმაღლესი მენეჯმენტის წინაშე უნდა იყვნენ ანგარიშვალდებულნი და არ შეიძლება მათი გათავისუფლება მოვალეობების შესრულების გამო.

როლი მოიცავს GDPR-ის შესაბამისობის მონიტორინგს, მონაცემთა დაცვაზე ზემოქმედების შეფასების ჩატარებას და დაშიფვრისა და კრიპტოგრაფიის მოთხოვნებთან დაკავშირებით კონსულტაციის გაწევას.

თქვენ ნათლად უნდა აღწეროთ მონაცემთა დაცვის ხელმძღვანელის (DPO) მოვალეობები.

ეს მოიცავს მათ უფლებამოსილებას, შეამოწმონ თქვენი ციფრული ინფრასტრუქტურა და გადახედონ თქვენი ინციდენტებზე რეაგირების გეგმას.

თუ თქვენ მოქმედებთ ევროკავშირის რამდენიმე ქვეყანაში, შეგიძლიათ დანიშნოთ ერთი მონაცემთა დაცვის წარმომადგენელი მისი პროფესიული თვისებებისა და შესაბამისი იურისდიქციების ცოდნის საფუძველზე.

კორპორაციული მმართველობა და ანგარიშვალდებულება

თქვენს დირექტორთა საბჭოს ეკისრება საბოლოო პასუხისმგებლობა კიბერუსაფრთხოების რისკების მართვაზე.

მათ უნდა დაამტკიცონ უსაფრთხოების ზომები, გამოყონ საკმარისი რესურსები და უზრუნველყონ კიბერმდგრადობის ძალისხმევის სათანადო ზედამხედველობა.

ლიდერობის პასუხისმგებლობა მოიცავს:

  • უსაფრთხოების პოლიტიკის დამტკიცება ინფორმაციული უსაფრთხოების ჩარჩოებისთვის
  • რისკის შეფასების ზედამხედველობა და ოპერაციული მდგრადობის დაგეგმვა
  • აუდიტის შესაბამისობის უზრუნველყოფა დამოუკიდებელი მიმოხილვების მეშვეობით
  • ბიუჯეტების განაწილება კიბერუსაფრთხოების მართვისა და თანამშრომელი სასწავლო

თქვენ უნდა დაადგინოთ უფლებამოსილების მკაფიო ხაზები უსაფრთხოების საკითხებთან დაკავშირებული გადაწყვეტილებების მისაღებად.

დოკუმენტი, თუ ვინ ამტკიცებს უსაფრთხოების ზომებს, ვინ ზედამხედველობს მათ განხორციელებას და ვინ ატარებს აუდიტს.

თქვენმა მენეჯმენტმა რეგულარულად უნდა გადახედოს კიბერუსაფრთხოების მუშაობას და შეცვალოს სტრატეგიები თქვენი ციფრული ინფრასტრუქტურისადმი მზარდი საფრთხეების საფუძველზე.

შიდა პოლიტიკა და თანამშრომელთა ტრენინგი

თქვენ უნდა შექმნათ დოკუმენტირებული პოლიტიკა, რომელიც განსაზღვრავს უსაფრთხოების როლებს თქვენს ორგანიზაციაში.

ეს პოლიტიკა უნდა განსაზღვრავდეს მონაცემთა დაცვის, ინციდენტებზე რეაგირების და კიბერმდგრადობის შენარჩუნების პასუხისმგებლობებს.

თქვენი უსაფრთხოების პოლიტიკა უნდა მოიცავდეს:

  • წვდომის კონტროლი და ავთენტიფიკაციის მოთხოვნები
  • მონაცემთა კლასიფიკაციისა და დაშიფვრის სტანდარტები
  • ინციდენტის მოხსენების პროცედურები
  • რეგულარული უსაფრთხოების ცნობიერების ამაღლების ტრენინგი

თქვენ უნდა უზრუნველყოთ ყველა თანამშრომლისთვის ინფორმაციული უსაფრთხოების პრაქტიკის შესახებ მუდმივი ტრენინგი.

ეს მოიცავს ფიშინგის ამოცნობა მცდელობები, მგრძნობიარე მონაცემების სათანადოდ დამუშავება და ინციდენტებზე რეაგირების გეგმის დაცვა.

ტრენინგი უნდა იყოს მორგებული კონკრეტულ როლებზე, ხოლო ტექნიკური პერსონალი უნდა გაიაროს კრიპტოგრაფიისა და უსაფრთხოების კონტროლის სფეროში მოწინავე ინსტრუქციები.

თქვენი პოლიტიკა რეგულარულად უნდა გადაიხედოს და განახლდეს რეგულაციების შეცვლის ან ახალი რისკების გაჩენის შემთხვევაში.

თქვენ უნდა უზრუნველყოთ ადეკვატური რესურსები როგორც პოლიტიკის განხორციელებისთვის, ასევე კიბერუსაფრთხოების პრაქტიკაში პერსონალის განვითარებისთვის.

კიბერუსაფრთხოების ინციდენტების სახეები და ახალი საფრთხეები

კიბერუსაფრთხოების ინციდენტები მოიცავს მატყუარა ელფოსტებიდან დაწყებული მასშტაბური ქსელის დარღვევებით დამთავრებული, რამაც შეიძლება მთელი ორგანიზაციები საფრთხეში ჩააგდოს.

ამ საფრთხეების გააზრება დაგეხმარებათ დაუცველობის იდენტიფიცირებაში და იმის დადგენაში, თუ ვის ეკისრება პასუხისმგებლობა დარღვევის შემთხვევაში.

ფიშინგი, მავნე პროგრამები და გამოსასყიდი პროგრამები

ფიშინგი რჩება ერთ-ერთ ყველაზე გავრცელებულ კიბერუსაფრთხოების საფრთხედ, რომელსაც წააწყდებით.

თავდამსხმელები აგზავნიან ელფოსტებს ან შეტყობინებებს, რომლებიც თავს ლეგიტიმურ კომპანიებად წარმოადგენენ, რათა მოიპარონ თქვენი პაროლები, ფინანსური ინფორმაცია ან სხვა მგრძნობიარე მონაცემები.

ეს თავდასხმები სოციალური ინჟინერიის ინციდენტების 60 პროცენტზე მეტს იწვევს.

malware ეხება მავნე პროგრამულ უზრუნველყოფას, რომელიც აზიანებს თქვენს კომპიუტერულ სისტემებს ან ქსელებს.

ეს მოიცავს ვირუსებს, ტროიანებს და სხვა მავნე კოდს, რომლებიც შექმნილია თქვენს მონაცემებზე წვდომის ან თქვენი ოპერაციების ჩაშლის მიზნით.

ransomware არის მავნე პროგრამის სპეციფიკური ტიპი, რომელიც ბლოკავს თქვენს ფაილებზე წვდომას და აღდგენისთვის გადახდას მოითხოვს.

გამოსასყიდის გადახდის შემთხვევაშიც კი, არ არსებობს გარანტია, რომ თავდამსხმელები აღადგენენ თქვენს წვდომას ან წაშლიან მოპარულ მონაცემებს.

2020-დან 2021 წლამდე ორგანიზაციებმა მსოფლიო მასშტაბით დაახლოებით 24 000 კიბერუსაფრთხოების ინციდენტი განიცადეს, სადაც გამოსასყიდის მოთხოვნით განხორციელებულმა ქმედებებმა მნიშვნელოვანი როლი ითამაშა ფინანსურ ზარალში.

მომსახურების უარყოფის (DoS) და განაწილებული DoS (DDoS) შეტევები

DoS შეტევები გადატვირთეთ თქვენი სისტემები ტრაფიკით, რათა სერვისები ლეგიტიმური მომხმარებლებისთვის მიუწვდომელი გახდეს.

ერთი წყარო ავსებს თქვენს ქსელს მოთხოვნებით მანამ, სანამ ის არ გაითიშება ან ძალიან ნელა არ იფუნქციონირებს.

DDoS თავდასხმები გამოიყენეთ მრავალი კომპრომეტირებული სისტემა თქვენი ინფრასტრუქტურის წინააღმდეგ კოორდინირებული თავდასხმების განსახორციელებლად.

ამ განაწილებული შეტევების შეჩერება უფრო რთულია, რადგან ისინი ერთდროულად მრავალი ადგილიდან მოდის.

DDoS შეტევებმა შეიძლება ხელი შეუშალოს კრიტიკული სერვისების მუშაობას, სამთავრობო ვებსაიტებიდან დაწყებული კერძო სექტორის ოპერაციებით დამთავრებული.

უსაფრთხოების ინციდენტის სერიოზულ დარღვევად გადაქცევის თავიდან ასაცილებლად, როგორც წესი, პირველი აღმოჩენიდან 62 წუთზე ნაკლები დრო გაქვთ.

ეს ვიწრო ფანჯარა სწრაფ რეაგირებას აუცილებელს ხდის DoS ან DDoS შეტევების დროს.

თაღლითობა და არაავტორიზებული წვდომა

თაღლითობა კიბერუსაფრთხოებაში გულისხმობს მოტყუებით გამოყენებას თქვენს სისტემებზე ან მონაცემებზე არაავტორიზებული წვდომის მოსაპოვებლად.

ეს მოიცავს პირადობის მოპარვას, გადახდის თაღლითობას და რწმუნებათა სიგელების კომპრომეტირებას.

არაავტორიზებული წვდომა ხდება მაშინ, როდესაც ვინმე არღვევს თქვენს უსაფრთხოების პოლიტიკას ქსელებზე, სისტემებზე ან მონაცემებზე ნებართვის გარეშე წვდომის მიზნით.

ეს შეიძლება მოხდეს შემდეგი გზით:

  • მოპარული შესვლის სერთიფიკატები
  • ექსპლუატირებული პროგრამული უზრუნველყოფის დაუცველობები
  • უსაფრთხოების კონტროლის გვერდის ავლით
  • შინაგანი მუქარა ამჟამინდელი ან ყოფილი თანამშრომლებისგან

ინსაიდერული მონაცემების ქურდობა ხშირად უგულებელყოფილია, თუმცა ეს შეიძლება ისეთივე დამაზიანებელი იყოს, როგორც გარე თავდასხმები.

2021 წელს ინსაიდერული თავდასხმების საშუალო ღირებულებამ 12.5 მილიონი ფუნტი სტერლინგი შეადგინა.

1990 წლის კომპიუტერული ბოროტად გამოყენების შესახებ კანონის თანახმად, თანამშრომლების მიერ მონაცემთა უნებლიე გაჟონვაც კი უსაფრთხოების ინციდენტებად ითვლება.

სექტორისა და მიწოდების ჯაჭვის დაუცველობები

კრიტიკული ინფრასტრუქტურის სექტორები კიბერდანაშაულის გაზრდილი რისკების წინაშე დგანან, რომელთა მთავარი სამიზნეები ჯანდაცვა, ენერგეტიკა და ფინანსური მომსახურებაა.

2020-დან 2021 წლამდე პროფესიულ სექტორში თითქმის 3,600 ინციდენტი დაფიქსირდა, რაც მას ყველაზე მიზანმიმართულ ინდუსტრიად აქცევს.

მიწოდების ჯაჭვის უსაფრთხოება სულ უფრო მნიშვნელოვანი გახდა, რადგან თავდამსხმელები პირდაპირ თქვენზე თავდასხმის ნაცვლად თქვენს პარტნიორებსა და მესამე მხარის მომწოდებლებს ესხმიან თავს.

მესამე მხარის მომწოდებლების ეს თავდასხმები თქვენი პარტნიორი ორგანიზაციების უფრო სუსტ უსაფრთხოების ზომებს იყენებენ თქვენი კლიენტების მონაცემებზე წვდომისთვის.

მიწოდების ჯაჭვის დაუცველობა თავდამსხმელებს საშუალებას აძლევს, ერთი დარღვევით საფრთხე შეუქმნან რამდენიმე ორგანიზაციას.

როდესაც თქვენი მომწოდებლის სისტემები თქვენსას უკავშირდება, მათი უსაფრთხოების სისუსტეები თქვენს უსაფრთხოების სისუსტეებად იქცევა.

ეს ურთიერთდაკავშირებული რისკი ნიშნავს, რომ თქვენ უნდა შეაფასოთ არა მხოლოდ თქვენი კიბერუსაფრთხოების ზომები, არამედ თქვენი მიწოდების ჯაჭვის ყველა ორგანიზაციის ზომებიც.

ეროვნული სახელმწიფოები სულ უფრო ხშირად ახორციელებენ ტესტირებას და აღწევენ კონკურენტ კიბერსივრცეებში, ხშირად მოქმედებენ კერძო სუბიექტების საფარქვეშ და მთავრობების სახელით მოქმედებენ.

ხშირად დასმული შეკითხვები

მონაცემთა გაჟონვის შემდეგ ნიდერლანდურმა კომპანიებმა მკაცრი ანგარიშგების მოთხოვნები და შესაბამისობის სტანდარტები უნდა დაიცვან, პასუხისმგებლობა კი რამდენიმე მხარეს ეკისრება მათი როლებისა და პასუხისმგებლობების მიხედვით.

ამ ვალდებულებების გააზრება ორგანიზაციებს ეხმარება დაიცვან საკუთარი თავი და დაზარალებული პირები, ამავდროულად შეინარჩუნონ ეროვნული და ევროპული რეგულაციების დაცვა.

რა იურიდიული ვალდებულებები აქვთ ჰოლანდიურ კომპანიებს მონაცემთა დარღვევის შემდეგ?

თქვენმა ორგანიზაციამ მონაცემთა დარღვევის შესახებ ინფორმაციის მიღებიდან 72 საათის განმავლობაში უნდა აცნობოს ნიდერლანდების მონაცემთა დაცვის ორგანოს (Autoriteit Persoonsgegevens).

ეს მოთხოვნა ვრცელდება GDPR-ის მიხედვით, რომელიც არეგულირებს მონაცემთა დაცვას ნიდერლანდების მასშტაბით.

დარღვევის შესახებ შეტყობინებაში კონკრეტული ინფორმაციის მიწოდებაა საჭირო.

ეს მოიცავს დარღვევის ხასიათს, დაზარალებული პირების რაოდენობას, პოტენციურ შედეგებს და თქვენს მიერ გატარებულ ან განსახორციელებელ ზომებს.

თუ 72 საათის განმავლობაში ყველა დეტალის მოწოდებას ვერ შეძლებთ, უნდა ახსნათ დაგვიანების მიზეზი და დარჩენილი ინფორმაცია რაც შეიძლება მალე წარადგინოთ.

როდესაც დარღვევა ინდივიდის უფლებებისა და თავისუფლებებისთვის მაღალ რისკს წარმოადგენს, თქვენ ასევე პირდაპირ უნდა აცნობოთ დაზარალებულ პირებს.

თქვენ არ შეგიძლიათ ამ შეტყობინების გადადება გამართლებული მიზეზების გარეშე.

დაზარალებულ პირებთან თქვენი კომუნიკაცია უნდა იყოს მკაფიო და ახსნას დარღვევის სავარაუდო შედეგები და ის ნაბიჯები, რომელთა გადადგმაც მათ საკუთარი თავის დასაცავად შეუძლიათ.

თქვენ უნდა შეინახოთ მონაცემთა ყველა დარღვევის დეტალური დოკუმენტაცია, მიუხედავად იმისა, აცნობებთ თუ არა მათ ხელისუფლებას.

ეს დოკუმენტაცია უნდა შეიცავდეს დარღვევის ფაქტებს, მის შედეგებს და გატარებულ ზომებს.

ნიდერლანდების მონაცემთა დაცვის ორგანოს შეუძლია მოითხოვოს ეს დოკუმენტაცია შემოწმების ან გამოძიების დროს.

როგორ განისაზღვრება პასუხისმგებლობა მონაცემთა დარღვევისთვის ნიდერლანდების კანონმდებლობის მიხედვით?

ნიდერლანდებში მონაცემთა დარღვევისთვის პასუხისმგებლობა დამოკიდებულია თქვენს, როგორც მონაცემთა კონტროლიორის ან მონაცემთა დამმუშავებლის, როლზე.

მონაცემთა კონტროლიორები განსაზღვრავენ პერსონალური მონაცემების დამუშავების მიზნებსა და საშუალებებს, ხოლო მონაცემთა დამმუშავებლები ამუშავებენ მონაცემებს კონტროლიორების სახელით.

თქვენი იურიდიული პასუხისმგებლობები განსხვავდება ამ კლასიფიკაციის მიხედვით.

როგორც მონაცემთა კონტროლიორი, თქვენ გეკისრებათ ძირითადი პასუხისმგებლობა მონაცემთა დაცვის რეგულაციების დაცვის უზრუნველყოფაზე.

თქვენ უნდა განახორციელოთ შესაბამისი ტექნიკური და ორგანიზაციული ზომები პერსონალური მონაცემების დასაცავად.

სასამართლოები აფასებენ, გადადგით თუ არა გონივრული ნაბიჯები დარღვევის თავიდან ასაცილებლად და იმოქმედეთ თუ არა დაუდევრად თქვენი უსაფრთხოების პრაქტიკის თვალსაზრისით.

მონაცემთა დამმუშავებლებს ასევე შეიძლება დაეკისროთ პასუხისმგებლობა, თუ ისინი არ შეასრულებენ კონტროლერის მითითებებს ან დაარღვევენ სახელშეკრულებო ვალდებულებებს.

თუმცა, დამმუშავებლებს, როგორც წესი, უფრო შეზღუდული პასუხისმგებლობა აქვთ, ვიდრე კონტროლერებს.

თუ მონაცემებს კონტროლერის სათანადო ნებართვის გარეშე დაამუშავებთ ან შეთანხმებული უსაფრთხოების ზომების განხორციელებას ვერ შეძლებთ, შესაძლოა, პირდაპირ პასუხისმგებელი იყოთ თქვენ.

ნიდერლანდების სასამართლოები პასუხისმგებლობის დადგენისას რამდენიმე ფაქტორს იყენებენ.

ესენია დარღვევის სიმძიმე, კომპრომეტირებული მონაცემების მგრძნობელობა, დარღვევამდე თქვენი უსაფრთხოების ზომები და ინციდენტის აღმოჩენის შემდეგ თქვენი რეაგირება.

თქვენი ორგანიზაციის ზომა და რესურსები ასევე გავლენას ახდენს იმაზე, თუ სასამართლოები რას მიიჩნევენ გონივრულ უსაფრთხოების ზომებად.

ერთობლივი პასუხისმგებლობა შეიძლება წარმოიშვას, როდესაც მონაცემთა დარღვევაში რამდენიმე მხარე მონაწილეობს.

თუ თქვენ პასუხისმგებლობას სხვა კონტროლიორებთან ან დამმუშავებლებთან ერთად იზიარებთ, სასამართლოებმა შეიძლება თითოეული მხარე პასუხისმგებელად ცნონ მთლიან ზიანზე.

შემდეგ შეგიძლიათ მოითხოვოთ კომპენსაცია სხვა პასუხისმგებელი მხარეებისგან, დარღვევაში მათი შესაბამისი წვლილის საფუძველზე.

რომელი მხარეები შეიძლება იყვნენ პასუხისმგებელნი ნიდერლანდებში მონაცემთა უსაფრთხოების ინციდენტებზე?

მონაცემთა უსაფრთხოების ინციდენტებზე ძირითადი პასუხისმგებლობა მონაცემთა კონტროლერებს ეკისრებათ.

როგორც კონტროლიორი, თქვენ იღებთ გადაწყვეტილებებს პერსონალური მონაცემების დამუშავების შესახებ და უნდა უზრუნველყოთ შესაბამისი უსაფრთხოების ზომების მიღება.

დარღვევის შემდეგ თქვენს ორგანიზაციას შეიძლება დაეკისროს ადმინისტრაციული ჯარიმები, სამოქალაქო პასუხისმგებლობა და რეპუტაციის შელახვა.

მონაცემთა დამმუშავებლები შეიძლება პასუხისმგებელნი იყვნენ, როდესაც ისინი ვერ ასრულებენ თავიანთ სახელშეკრულებო და სამართლებრივ ვალდებულებებს.

თუ მონაცემებს ამუშავებთ კონტროლერის სახელით, თქვენ ვალდებული ხართ განახორციელოთ თქვენს ხელშეკრულებაში მითითებული უსაფრთხოების ზომები და დაემორჩილოთ კონტროლერის კანონიერ მითითებებს.

თქვენ პირდაპირი პასუხისმგებლობა გეკისრებათ, თუ გადააჭარბებთ თქვენს უფლებამოსილებას ან ვერ უზრუნველყოფთ სათანადო უსაფრთხოებას.

თქვენი ორგანიზაციის დირექტორები და თანამდებობის პირები შესაძლოა გარკვეულ გარემოებებში პირადი პასუხისმგებლობის წინაშე აღმოჩნდნენ.

ნიდერლანდებში NIS2 დირექტივის განხორციელების თანახმად, მენეჯმენტი შეიძლება პირადად იყოს პასუხისმგებელი კიბერუსაფრთხოების მმართველობის ხარვეზებზე.

ეს მოიცავს დირექტორის თანამდებობიდან შესაძლო დისკვალიფიკაციას, თუ სერიოზული დარღვევები მოხდება.

მესამე მხარის სერვისის მიმწოდებლებს ასევე შეუძლიათ პასუხისმგებლობა აიღონ უსაფრთხოების ინციდენტებზე.

თუ თქვენ ეყრდნობით ღრუბლოვან სერვისებს, IT მხარდაჭერას ან სხვა გარე პროვაიდერებს, მათ შეიძლება გაიზიარონ პასუხისმგებლობა, როდესაც მათი ჩავარდნები ხელს უწყობს დარღვევას.

ამ პროვაიდერებთან თქვენს კონტრაქტებში ნათლად უნდა იყოს განსაზღვრული უსაფრთხოების ვალდებულებები და პასუხისმგებლობის პირობები.

ნიდერლანდების მონაცემთა დაცვის ორგანო ძირითად აღმასრულებელ ორგანოს წარმოადგენს.

მიუხედავად იმისა, რომ ორგანო პირდაპირ არ არის პასუხისმგებელი დარღვევებზე, ის იძიებს ინციდენტებს, გასცემს კორექტირების ბრძანებებს და ადმინისტრაციულ ჯარიმებს აკისრებს შეუსაბამო ორგანიზაციებს.

რა შედეგები მოჰყვება ორგანიზაციებს ნიდერლანდების მონაცემთა დაცვის რეგულაციების შეუსრულებლობის შემთხვევაში?

თქვენს ორგანიზაციას შეიძლება დაეკისროს ადმინისტრაციული ჯარიმა 20 მილიონ ევრომდე ან თქვენი გლობალური წლიური ბრუნვის 4%-მდე, რომელიც უფრო მეტია. ნიდერლანდების მონაცემთა დაცვის ორგანო ჯარიმის ოდენობას განსაზღვრავს დარღვევის ხასიათის, სიმძიმის, ხანგრძლივობისა და გამოძიების დროს თქვენი თანამშრომლობის საფუძველზე.

ფინანსური ჯარიმების გარდა, ორგანოს შეუძლია დააწესოს მაკორექტირებელი ზომები, რომლებიც ხელს შეუშლის თქვენს ოპერაციებს. ეს ზომები მოიცავს მონაცემთა დამუშავების საქმიანობის დროებით შეზღუდვებს, კონკრეტული დარღვევების გამოსწორების ბრძანებებს და სავალდებულო აუდიტს.

შესაძლოა, დაგჭირდეთ გარკვეული ბიზნეს საქმიანობის შეჩერება მანამ, სანამ არ დაამტკიცებთ შესაბამისობას. თქვენი ორგანიზაციის რეპუტაციის მნიშვნელოვანი ზიანის რისკი არსებობს შეუსაბამობის გამო.

მონაცემთა დარღვევისა და მარეგულირებელი სანქციების საჯაროდ გამჟღავნებამ შეიძლება შეარყიოს მომხმარებლის ნდობა და დააზიანოს საქმიანი ურთიერთობები. ნიდერლანდების მონაცემთა დაცვის ორგანო აქვეყნებს აღსრულების გადაწყვეტილებებს, რომლებიც საზოგადოებისა და მედიისთვის ხელმისაწვდომი რჩება.

შესაძლოა, დაზარალებული პირებისგან ზიანის ანაზღაურების მოთხოვნით სამოქალაქო სარჩელი შეიტანოთ. ფიზიკურ პირებს შეუძლიათ მოითხოვონ მონაცემთა დაცვის დარღვევით გამოწვეული მატერიალური და არამატერიალური ზიანის ანაზღაურება.

ნიდერლანდების სასამართლოები სულ უფრო ხშირად აღიარებენ პერსონალურ მონაცემებზე კონტროლის დაკარგვისა და განადგურების შესახებ სარჩელებს, თუნდაც პირდაპირი ფინანსური დანაკარგების გარეშე. სერიოზული დარღვევების შემდეგ თქვენი ბიზნეს შესაძლებლობები შეიძლება შეიზღუდოს.

ზოგიერთ სექტორში კონტრაქტების შესანარჩუნებლად საჭიროა უსაფრთხოების სერტიფიკატები ან შესაბამისობის ჩანაწერები, განსაკუთრებით სამთავრობო უწყებებთან ან რეგულირებად ინდუსტრიებთან ურთიერთობისას.

რა გზებით შეუძლიათ დაზარალებულ პირებს მოითხოვონ კომპენსაცია ნიდერლანდებში მონაცემთა დარღვევის შემდეგ?

თქვენ შეგიძლიათ საჩივარი შეიტანოთ ნიდერლანდების მონაცემთა დაცვის ორგანოში, თუ თვლით, რომ ორგანიზაციამ დაარღვია თქვენი მონაცემთა დაცვის უფლებები. ორგანო იძიებს საჩივრებს და შეუძლია მიიღოს სააღსრულებო ზომები შეუსაბამო ორგანიზაციების წინააღმდეგ.

ეს პროცესი უფასოა და არ საჭიროებს იურიდიულ წარმომადგენლობას. თქვენ გაქვთ უფლება, სამოქალაქო სარჩელი შეიტანოთ პასუხისმგებელი ორგანიზაციის წინააღმდეგ.

ნიდერლანდების კანონმდებლობა საშუალებას გაძლევთ მოითხოვოთ კომპენსაცია როგორც მატერიალური, ასევე არამატერიალური ზიანისთვის, რომელიც გამოწვეულია მონაცემთა დაცვის წესების დარღვევით. მატერიალური ზიანი მოიცავს ფინანსურ დანაკარგებს, ხოლო არამატერიალური ზიანი მოიცავს სტრესს, შფოთვას და თქვენს პერსონალურ მონაცემებზე კონტროლის დაკარგვას.

შეგიძლიათ დაიქირავოთ ადვოკატი თქვენი პრეტენზიის განსახილველად, პირობით შემთხვევაში, ან მიმართოთ იურიდიულ დახმარებას, თუ აკმაყოფილებთ ფინანსურად დასაშვებ კრიტერიუმებს. ნიდერლანდებში ბევრი იურიდიული ფირმა სპეციალიზირებულია მონაცემთა დაცვის საქმეებზე და შეუძლია გაგიწიოთ კონსულტაცია თქვენი პრეტენზიის სიძლიერის შესახებ.

კოლექტიური სარჩელის მექანიზმები დაზარალებული პირების ჯგუფებს საშუალებას აძლევს, კოლექტიურად შეიტანონ სარჩელი. თქვენ შეგიძლიათ მოითხოვოთ კომპენსაცია უშუალოდ ორგანიზაციისგან სასამართლოში მიმართვის გარეშე.

ბევრი ორგანიზაცია უპირატესობას ანიჭებს სარჩელების პირადად მოგვარებას, რათა თავიდან აიცილოს სასამართლო ხარჯები და ნეგატიური საჯაროობა. თქვენი მოლაპარაკების პოზიცია ძლიერდება, თუ ორგანიზაციამ აშკარად დაარღვია მონაცემთა დაცვის რეგულაციები ან თუ დარღვევამ მნიშვნელოვანი ზიანი მიაყენა.

ასევე შეგიძლიათ შეიტანოთ სარჩელი მონაცემთა დამმუშავებლების წინააღმდეგ, თუ ისინი არიან პასუხისმგებელი დარღვევაზე. GDPR-ის თანახმად, ზიანისთვის პასუხისმგებლობა შეიძლება დაეკისროთ როგორც კონტროლერებს, ასევე დამმუშავებლებს.

თუ დარღვევაში რამდენიმე მხარე მონაწილეობდა, შეგიძლიათ სრული თანხა მოითხოვოთ ნებისმიერი პასუხისმგებელი მხარისგან.

როგორ მოქმედებს GDPR ნიდერლანდებში მოქმედი სუბიექტების პასუხისმგებლობასა და პასუხისმგებლობებზე მონაცემთა დარღვევის შემთხვევაში?

GDPR აწესებს მკაფიო ვალდებულებებს ორგანიზაციებისთვის პერსონალური მონაცემების დაცვასთან დაკავშირებით.

სუბიექტებმა უნდა განახორციელონ შესაბამისი ტექნიკური და ორგანიზაციული ზომები მონაცემთა უსაფრთხოების უზრუნველსაყოფად.

მონაცემთა დარღვევის შემთხვევაში, ორგანიზაციები ვალდებულნი არიან 72 საათის განმავლობაში აცნობონ შესაბამის საზედამხედველო ორგანოს.

თუ დარღვევა ინდივიდის უფლებებისა და თავისუფლებებისთვის მაღალ რისკს წარმოადგენს, დაზარალებული პირებიც უნდა იყვნენ ინფორმირებულნი.

ამ მოთხოვნების შეუსრულებლობამ შეიძლება გამოიწვიოს მნიშვნელოვანი ჯარიმები და ორგანიზაციის რეპუტაციის შელახვა.

როგორც მონაცემთა კონტროლიორებს, ასევე დამმუშავებლებს GDPR-ის მიხედვით განსხვავებული პასუხისმგებლობები აქვთ და კონტრაქტებში ეს როლები ნათლად უნდა იყოს განსაზღვრული.

Related პოსტები

კიბერუსაფრთხოების ინციდენტების შესახებ ანგარიშგების მოვალეობები: როგორ შევასრულოთ

თქვენი ორგანიზაცია აღმოაჩენს უჩვეულო ქსელურ აქტივობას. თქვენი IT გუნდი იძიებს და პოულობს მომხმარებლის მონაცემებზე არაავტორიზებული წვდომის შესაძლებლობას. თქვენ აკონტროლებთ საფრთხეს. ახლა კი გადაუდებელია...

Წაიკითხე მეტი "

ჯგუფური სარჩელი ნიდერლანდებში: WAMCA-ს შემდგომი კოლექტიური სარჩელების სახელმძღვანელო

მნიშვნელოვანმა სამართლებრივმა ცვლილებამ ნიდერლანდები მსხვილი სარჩელების, განსაკუთრებით ფინანსური ზიანის ანაზღაურების მოთხოვნის, მთავარ დანიშნულების ადგილად აქცია. გარდამტეხი მომენტი იყო კანონი...

Წაიკითხე მეტი "

Law & More logo

მომსახურება

პრაქტიკა

სწრაფი ლინკები

საკონტაქტო ინფორმაცია

Facebook Instagram Linkedin Twitter

© 2026 Law & More. ყველა უფლება დაცულია.

საერთაშორისო იურიდიული ფირმა, რომელიც ემსახურება როგორც ბიზნესებს, ასევე ფიზიკურ პირებს Eindhoven მდე Amsterdam. 

ექსპერტიზა Brainport-ის ტექნოლოგიურ ეკოსისტემაში.

 

Facebook Instagram Linkedin Twitter

მომსახურება

პრაქტიკა

სწრაფი ლინკები

© 2026 Law & More. ყველა უფლება დაცულია.

საერთო პირობები  ·  კონფიდენციალურობის შესახებ განცხადება  ·  საჩივრების პროცედურა  ·  Cookie პოლიტიკის

კონტაქტები

  • +31 20 369 71 21
  • Amsterdam: Pietersbergweg 291, 1105 BM (ვიზიტის ადგილი)
  • ორშაბათი-პარასკევი: 08:00-18:00 | შაბათ-კვირა: 09:00-17:00

ენა:

Law & More