Пояснюємо правовий бік кібербезпеки: обов’язки із захисту даних, що робити при витоку, строк повідомлення 72 години за GDPR, план реагування та відповідальність.
Чому кібербезпека — це питання права
Кібербезпеку часто сприймають суто технічно — як завдання для інженерів. Насправді це й правова сфера: закон встановлює обов’язки із захисту даних, відповідальність за їх порушення та чіткі процедури реагування на інциденти. Технічний захист без юридичного супроводу залишає компанію беззахисною перед штрафами й позовами.
Для IT-компанії, що обробляє дані користувачів, інцидент безпеки — це не лише технічна аварія, а й юридична подія з чіткими строками й обов’язками. Реакція в перші години визначає, чи відбудеться компанія штрафом і репутаційними втратами, чи зіткнеться з масштабними наслідками.
У межах практики IT Law ми готуємо компанії до інцидентів заздалегідь і супроводжуємо реагування, коли інцидент уже стався, щоб дії були швидкими й юридично коректними.
Обов’язки компанії із захисту даних
Базовий документ — Закон України «Про захист персональних даних», який вимагає від володільця даних забезпечити їх захист від незаконного доступу, втрати чи знищення. Якщо компанія обробляє дані осіб з ЄС, додається GDPR з прямою вимогою впроваджувати належні технічні й організаційні заходи безпеки.
Закон не вимагає конкретних технологій, але вимагає, щоб заходи були адекватними ризику. На практиці це означає контроль доступу, шифрування чутливих даних, резервне копіювання, журналювання подій і регулярний перегляд безпеки. Договори з підрядниками (DPA) мають покладати на них аналогічні зобов’язання.
Ці обов’язки тісно пов’язані з SaaS-угодами й роботою з підрядниками, які ми розглядаємо у статтях про договір SaaS та GDPR для українського IT. Без узгодженого ланцюга зобов’язань слабка ланка підрядника стає ризиком для всієї компанії.
Що вважається витоком персональних даних
Витік (порушення безпеки) персональних даних — це інцидент, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття чи доступу до персональних даних. Важливо розуміти, що це не лише хакерська атака.
- злам бази даних чи облікового запису;
- випадкове надсилання даних не тому адресату;
- втрата або крадіжка ноутбука чи носія з даними;
- помилка налаштувань, що відкрила дані публічно;
- дії недобросовісного працівника чи підрядника.
Кваліфікація події як витоку запускає юридичні обов’язки, тому компанія має вміти швидко оцінити інцидент: які дані постраждали, скільки осіб торкнулося та який рівень ризику для їхніх прав. Від цієї оцінки залежить, чи виникає обов’язок повідомлення й у якому обсязі.
Повідомлення про витік: строк 72 години
Ключова вимога GDPR — повідомити наглядовий орган про витік персональних даних упродовж 72 годин з моменту, коли компанія дізналася про інцидент, крім випадків, коли витік навряд чи створює ризик для прав осіб. Якщо ризик для осіб високий, повідомити потрібно також самих суб’єктів даних без невиправданої затримки.
72 години — це дуже стислий строк. Без заздалегідь підготовленого плану компанія втрачає дорогоцінний час на узгодження, хто й що має робити, і ризикує пропустити дедлайн.
Повідомлення має містити характер порушення, категорії та орієнтовну кількість постраждалих осіб, ймовірні наслідки й вжиті заходи. Якщо процесор (наприклад, SaaS-постачальник) виявив інцидент, він зобов’язаний без затримки повідомити контролера, щоб той встиг виконати свій обов’язок.
Український закон також передбачає реагування й повідомлення у визначених випадках, і національні вимоги поступово зближуються з європейськими. Ми допомагаємо коректно підготувати повідомлення, бо помилки в його змісті чи строку самі по собі стають порушенням.
План реагування на інцидент
Оскільки реагувати треба швидко, головний захист — це заздалегідь підготовлений план реагування на інциденти (incident response plan). Він описує, хто входить до команди реагування, як фіксується й оцінюється інцидент, у які строки й кому надсилаються повідомлення та як комунікувати з користувачами й медіа.
Грамотний план визначає ролі: технічна команда локалізує загрозу, юрист оцінює обов’язки повідомлення, керівництво ухвалює рішення про комунікацію. Заздалегідь готують шаблони повідомлень для регулятора й користувачів, щоб не складати їх з нуля під час кризи.
Не менш важлива документація інциденту: компанія має фіксувати всі витоки, навіть ті, що не вимагали повідомлення, бо регулятор може запитати журнал інцидентів. Ми складаємо такий план під конкретну компанію й тренуємо команду діяти за ним.
Відповідальність та профілактика
Наслідки порушень серйозні. За GDPR штрафи сягають значного відсотка світового річного обороту або фіксованої суми в євро — залежно від того, що більше. Український закон передбачає власну відповідальність, яка посилюється в межах гармонізації з ЄС. Додатково компанію очікують позови постраждалих осіб і репутаційні втрати.
Тому профілактика дешевша за наслідки. Базовий мінімум — політики безпеки, навчання персоналу, контроль доступу, DPA з підрядниками, регулярний аудит і готовий план реагування. Інвестори перевіряють блок кібербезпеки під час due diligence, і його стан впливає на оцінку компанії.
Кібербезпека — це безперервний процес, а не разове налаштування. Більше матеріалів — у розділі IT-право, а аудит захисту даних і план реагування підготуємо на консультації.
Послуги напряму: Вступ і супровід у режимі Дія.City, Договори з розробниками (B2B та гіг-контракти), Відповідність GDPR і захист персональних даних.