该系列中的最新款 网志 英国信息专员办公室(ICO)的研究人员对《通用数据保护条例》(GDPR)下有关数据泄露报告的一些神话进行了研究。考虑到有关该主题的误导性新闻报道,ICO的博客应为相关企业准备遵守GDPR时提供一些可喜的澄清。

误解1:所有个人数据泄露都需要报告给ICO。

这是不正确的。根据GDPR,必须向相关监管机构报告个人数据泄露 是否有可能对人民的权利和自由造成威胁。但是,如果这种风险不太可能发生,则无需报告违规行为。

值得注意的是,如果违规行为可能给人们的权利和自由带来高风险,则组织还需要向受影响的个人报告违规行为。 ICO提供了一些 初步指导 认为是高风险的情况。它指出:“如果不加以解决,这种违反行为可能会对个人产生重大不利影响,例如,导致歧视,声誉受损,财务损失,机密性丧失或任何其他重大的经济或社会不利条件”。

ICO已经表示,我们可以期待泛欧洲的准则,这将有助于确定报告违规的阈值。但是,企业可以通过查看组织经常遇到的事件类型并从组织的数据和客户的角度了解构成严重事件的方式来开始进行准备。

误解二:一旦发生个人数据泄露,就必须提供所有详细信息。

同样,这是不正确的。在必须报告违规行为的情况下(如上所述),GDPR要求报告必须无故拖延,并且在可行的情况下,最迟应在意识到违规行为后72小时内进行报告。 GDPR第33条规定了举报违规行为时必须提供的详细信息,并允许组织在当时尚无法提供所有详细信息的情况下稍后提供此信息。

ICO已经确认,它不希望在事件发生时就收到全面的报告,但是它将希望了解违反的潜在范围和原因,计划的缓解措施以及组织计划如何解决该问题。

误解3:如果您不及时举报,总会被处以罚款,而且罚款额将会很高。

正如ICO在先前博客中所解释的那样,根据GDPR进行的任何罚款都将是相称的,并且不会在每种情况下都予以发布。 ICO表示,如果组织开放诚实,并且可以无故拖延报告,则可以避免罚款。

误解四:数据泄露报告只不过是在惩罚组织。
ICO强调事实并非如此。这是为了使组织具备更好的能力来应对安全漏洞。通过收集和分析有关违规的信息,它可以使公众对其监管者产生信任和信心,同时帮助组织保护个人数据并阻止违规行为。

ICO接下来是什么?

ICO目前正在作为第29条工作组的一部分,以就新的GDPR数据泄露报告要求提供指导。他们还计划推出一种新的电话报告服务,并与网络报告表格并排放置,以报告当前的个人数据违规行为和根据GDPR进行的未来违规行为。

企业应该做什么以准备违规报告?

为了确认这一点,将根据当前的《数据保护法》对所有个人数据泄露事件进行评估,直到2018年5月25日。在准备GDPR时,企业应首先查看其现有内部流程,以检查它们是否适合新要求。鉴于报告违规行为的时间紧迫,重要的是要有一套健全的程序来检测违规行为,进行内部调查并在内部进行报告,以便可以及时做出决定,通知有关监管机构或公众。还需要在内部适当分配角色和职责,并且还需要对员工进行适当的培训,以准确地了解什么构成数据泄露。