Follow us

GDPR和违规响应:确保您的通知系统符合要求

2018-11-12 08:35:16

翻译公司


随着GDPR的实施,组织正在采取最后步骤,确保其数据安全系统的合规性。

在第33条和第34条中,GDPR概述了在数据泄露事件中必须遵循的具体协议,包括必须通知谁违规,如何以及何时发生。

通过准备遵循这些准则,组织可以促进公众信任并与欧盟监管机构保持良好的信誉。下面我们将讨论GDPR中与违规响应通知相关的要求。

GDPR如何定义数据泄露?

根据新规定,只有个人数据泄露需要通知; 涉及知识产权等其他数据的违规行为不需要在GDPR下报告。

GDPR将个人数据泄露定义为“传输,存储或以其他方式处理的个人数据的意外或非法破坏,丢失,更改,未经授权的披露或访问。”个人数据本身是可以与一个人具体链接的信息; 例子包括姓名,社会安全号码,出生日期和地点,医疗记录和财务信息。

发生个人数据泄露后,如果确定对欧盟公民的“ 权利和自由 ” 构成风险,组织的数据控制者必须报告违规行为。大多数个人数据泄露(包括勒索软件攻击)涉及数据被盗或侵犯了权利保密,因此应报告。但是,如果个人数据被加密并且访问加密数据的密钥没有受到损害,则不一定必须报告违规行为。

无论外部通知如何,第33条都要求内部报告以确保组织跟踪数据泄露,并指出:“控制方应记录任何个人数据泄露事件,包括与个人数据泄露有关的事实。”

谁应该被告知数据泄露?

当发生个人数据泄露时,组织必须通知适当的监管机构,如第51条所述。此外,当这些人的“权利和自由存在高风险”时,应向受害者自己通报数据泄露事件。这些情况的示例包括包括医疗或财务信息的个人数据泄露,包括诸如与种族相关的敏感数据的接触信息,或作为儿童的受害者。

通知中应该包含哪些内容?

在向监管机构报告数据泄露时,组织应:

  • 描述个人数据泄露的性质。如果可能,请包括受影响的数据主题,类别和个人数据记录的大致数量。

  • 列出联系人以获取有关违规的更多信息。这通常是数据保护官员。

  • 描述个人数据泄露的可能后果。

  • 描述数据控制器已采取或建议采取哪些措施来解决个人数据泄露问题。这些措施应包括为避免或减轻可能的负面影响而采取的措施。

什么是通知的时间表?

数据泄露必须在检测和识别后的72小时内向监管机构报告,作为违规行为。如果组织不确定,他们也可以通知监管机构可能发生数据泄露,并且正在进行调查以收集更多信息 - 这不会影响72小时的时间窗口。

第33条规定,如果在72小时内未向监督机构发出通知,则必须说明为何不符合时间表。第34条规定,数据管理员必须“无不当拖延地”通知“数据主体”或受影响的消费者违反行为。

拐角处的截止日期

尚未为GDPR做准备的组织可能在5月份尚未准备就绪。但是,从现在到现在,公司仍然可以采取措施为新规定做好准备。

重要的是要记住,违规行为会带来很大的代价 - 不遵守GDPR的公司可能被罚款高达10,000,000欧元或高达年营业额的2%。

要更深入地了解违规通知指南(包括表格和流程图),您可以下载欧盟最近发布的此文档。


联系我们

电话:
021-31300031
24X7服务热线

邮件

欢迎随时发邮件给我们
admin@fanyibase.com,
and we’ll get back soon.

我们的地址

中国上海
中国(上海)自由贸易试验区,
达尔文路88号