August 9, 2025
2 min read
Витік персональних даних визначається у статті 4 Загального регламенту про захист даних (GDPR) як “випадкове або незаконне знищення, втрата, зміна, несанкціоноване розкриття або доступ до персональних даних, що передаються, зберігаються чи іншим чином обробляються” (Регламент (ЄС) 2016/679). Аналіз нещодавніх інцидентів показує, що витоки можуть відбуватися як через ненавмисну помилку, так і внаслідок цілеспрямованої атаки. Поширені вектори включають:
Стаття 33 GDPR зобов'язує, щоб контролери даних повідомляли про будь-який витік відповідний наглядовий орган протягом 72 годин з моменту, коли їм стало про це відомо. Недотримання цієї вимоги може призвести до значних адміністративних штрафів.
Ключові висновки емпіричних досліджень демонструють вплив витоків даних на організації та окремих осіб:
Варто зазначити, що вимога статті 33 щодо звітування призвела до збільшення кількості повідомлень про витоки даних по всьому ЄС: за перші два роки після набуття чинності GDPR було зареєстровано понад 160 000 витоків (European Data Protection Board, 2020). Однак залишаються прогалини у своєчасному виявленні та звітуванні, особливо серед малих та середніх підприємств.
Підсумовуючи, витік персональних даних — це багатогранне поняття, що охоплює несанкціонований доступ, втрату або розкриття персональних даних через як людські, так і технічні помилки. Нормативно-правова база (статті 4 та 33 GDPR) наголошує на швидкому звітуванні та підзвітності, проте практичні виклики у виявленні, запобіганні та пом'якшенні наслідків залишаються. Ці висновки відповідають мінливому ландшафту загроз і підкреслюють постійну потребу в надійних організаційних заходах контролю та обізнаності користувачів.
