数据泄露的发生总是令人紧张的经历,通常会导致 声誉损害 以及 组织的直接和间接成本 ,这种成本可能会持续数月甚至数年。
除此之外,《通用数据保护条例》(GDPR)还规定,当个人数据遭到泄露时,向监管机构报告数据泄露的时间范围是有限的。
了解作为一个组织,在向数据保护机构报告数据泄露时有哪些义务,以及何时有义务通知个人。
什么是个人数据泄露?
个人数据泄露是一种安全漏洞,可能导致个人数据意外或故意丢失、破坏、损坏、未经授权的披露或更改,从而对个人造成物质或非物质损害。
这个定义中最重要的部分是它必须涉及个人数据,因为虽然所有个人数据泄露都是安全事件,但并非所有安全事件都必须是个人数据泄露!
个人数据泄露意味着您的组织无法确保遵守GDPR 和与处理个人数据有关的原则(第 5 条)。
区分安全事件和个人数据泄露将帮助您决定是否有义务向监管机构报告特定事件。
您只需要在特定情况下报告与个人信息有关的泄露事件。
[相关主题:根据 GDPR,什么是个人数据]
数据泄露影响个人数据的可能性有多大?
根据《数据泄露成本报告》, PII 是数据泄露中丢失或被盗最多的数据类型(占80%)。但是,如果您采取必要措施,做好准备并快速做出反应,您至少可以控制数据泄露成本,与数据保护机构统计数据显示,80% 的泄露数据是 PII 或个人身份信息合作,并挽救公司声誉。
控制数据泄露造成的财务和声誉损失的方法之一是制定事件响应计划并及时报告。
如何决定是否应该通知监管机构?
我们建议您进行风险评估,并在评估影响时考虑数据泄露可能影响个人的不同方式。
当发生个人数据泄露时,您必须评估个人权利和自由的潜在风险的严重程度。
如果数据泄露对个人的权利和自由构成风险,则必须通知监管机构。
如果违规行为不太可能影响 报告个人数据泄 个人数据,则您没有义务报告。
序言 75可以帮助您明确什么被视为对个人权利和自由的潜在风险。安全的做法是报告每一次个人数据泄露,除非它们不太可能对个人权利和自由造成风险。
72 小时期限
GDPR 规定,如果发生任何个人数据泄露,组织需要在发现个人数据泄露后立即(不迟于 72 小时)通知主管国家监督机构,如果发生跨境泄露,则通知牵头机构。(第 33 条)
如果未在 72 小时内向监管机构发出通知,您必须说明延迟的原因。
但是,与 SA 核实一下也没什么坏处,因为您可以获得有价值的信息,包括是否应该通知受影响个人的信息。
您可以找到监督数据保护法应用的所有数据保护机构的列表,并了解如何报告数据泄露:
[相关主题:欧盟数据保护机构名单]
您是否应该将个人数据泄露的情况告知个人?
如果违规行为可能对个人的权利和自由造成重大风险,则您有义务毫不拖延地告知个人。(第 34 条)
对个人权利和自由的风险
个人数据泄露可能对个人造成物质或非物质损害,例如:
失去对个人数据的控制
权利的限制
歧视
身份盗窃或欺诈
财务损失
未经授权撤销假名化
声誉受损
失去保密性
或对有关自然人造成任何 bc 数据巴西 其他重大经济或社会不利影响。第 85 条
了解违规行为如何影响个人以及可能造成什么样的损害可以帮助您决定是否有义务通知个人。
联系个人的义务必须根据每个案例进行单独评估。
确保您合规的最安全方法是向国家监管机构寻求指导和指示。
什么情况下您没有义务通知个人?
在以下几种情况下,您没有义务通知个人有关个人数据泄露的情况:
您已实施适当的技术和组织措施来保护数据,并且这些措施已应用于受数据泄露影响的个人数据。例如,使任何未经授权访问个人数据的人无法理解个人数据的措施,例如加密
你们已采取后续措施,确保个人权利和自由不再 报告个人数据泄 可能面临高风险
如果通知个人需要付出不成比例的努力,那么你应发布公开声明或采取类似措施。
依赖不成比例的措施时要小心,因为 GDPR 中缺乏对该术语的明确定义,因此监管机构可以对其进行不同的解释。
WP29 示例 1
如果未经授权的一方无法理解个人数据(使用未被泄露的加密密钥),则涉及正确加密的个人数据的保密性泄露可能无需通知监管机构。
这是因为这种违法行为不太可能对个人的权利和自由构成威胁。
GDPR 下的数据泄露报告示例
来源:WP29 条例下的个人数据泄露通知指南
WP29 示例 2
个人数据已经公开,并且披露此类数据不会对个人构成可能的风险。
在评估风险时,您应该考虑对数据主体的权利和自由构成风险的可能性和严重程度。
无论您对决策的评估和结果如何,都 利用有效的品牌摄影在社交媒体上打造令人难忘的品牌 应该将其记录下来,因为这样可以让您在必要时更轻松地证明其合理性。
向个人的通知应包括哪些信息?
对数据主体的通知应包括您向数据保护机构报告的所有信息。
除了解释个人数据泄露的性质之外,您还应通知个人您的DPO(或其他联系点)的姓名和联系方式、泄露可能造成的后果的描述,以及为解决泄露发生的情况而采取的措施的描述。
违约性质的描述;
数据保护官或其他联络点的姓名和联系方式;
违约可能造成的后果的描述;
描述控制者为解决违规行为而采取或拟采取的措施
个人需要意识到违规行为的原因之一是帮助他们保护自己免受违规行为的后果。
向监管机构发出的数据泄露通知应包括哪些内容?
向监管机构发出违规通知应当:
报告数据泄露时应采取的步骤
描述个人数据泄露的性质,包括(如可能)涉及的数据主 报告个人数据泄 体的类别和大致数量,以及涉及的个人数据记录的类别和大致数量
包括 DPO或参与该流程的人员的任何其他联系人的姓名和联系方式,以便联系他们获取更多信息;
描述个人数据泄露可能造成的影响;
描述您为解决违规行为所采取的措施。
GDPR 没有定义应在通知中指定的数据主体或个人数据记录的类别。
然而,建议定义个人数据 单位电话号码完整列表权所有 受到泄露影响的数据主体类别,例如儿童、残疾人或员工。特殊类别的数据也是如此。
如果您不知道通知所需的所有信息,请不要因此而阻止您报告违规行为。
您可以稍后随时填写信息。重点应该始终放在控制损失和保护个人上,数字可以帮助我们了解违规行为的严重程度。
数据处理器的作用是什么?
GDPR 要求控制者和处理者 都采取适当的技术和组织措施,以确保与个人风险相适应的安全级别。
在发现个人数据泄露后,处理者有义务毫不拖延地通知控制者。
[相关主题:数据控制者和数据处理者之间的区别]
如果您与数据处理者合作,您需要签署一份合同,您作为数据控制者,他们作为您的处理者。所有关于违规报告的要求都应写入合同中并详细描述。
数据处理者必须协助数据控制者通知数据泄露或进行数据保护影响评估(DPIA)。
正确的违规程序要求数据处理者了解什么构成数据泄露,并根据其职责做出反应。
准备程序
根据《数据泄露成本报告》,如果您拥有事件响应团队和 IR 计划,则可以将数据泄露的成本降低多达 200 万美元。
这是一个很好的指标,表明 报告个人数据泄 准备和计划可以为组织带来巨大的财务变化。
确保制定与处理个人数据泄露相关的内部政策和程序。
您可以标准化数据泄露的操作程序,它们将在个人数据泄露事件发生时帮助您指引方向。
您应该始终了解数据泄露发生之前、期间和之后需要做什么。
标准操作程序需要在数据控制者系统的每个部分设置个人数据的风险概况,并提供必要的详细信息以使控制者能够进行风险评估的步骤。
考虑您的整体 GDPR 合规性。如果您还没有,您应该首先拥有处理活动、第三方管理、数据主体请求和同意管理的合规记录。您可以使用我们的隐私软件尝试它如何工作:获取 14 天免费数据隐私管理器试用版