2017年10月3日,第29条工作组(“ WP29”)发布 准则草案 关于根据《 2016/279通用数据保护条例》(“ GDPR”)发布的个人数据违规通知(“指南”)。在此博客中,我们介绍了准则中考虑的一些关键概念,涉及GDPR的强制性违规通知和通信要求。

什么是个人数据泄露?

GDPR第4条第12款将宽泛定义为违反安全性,可能导致丢失,破坏,损坏或未经授权的披露或访问个人数据。 WP29解释说,可以根据以下三个原则对安全漏洞进行分类:

  • 违反保密规定: 未经授权或意外披露或访问个人数据
  • 违反诚信规定: 未经授权或意外更改个人数据
  • 可用性违规: 未经授权或意外丢失个人数据的访问或破坏

WP29指出可用性漏洞可能不太明显。但是,如果永久丢失或销毁个人数据,则始终会被视为违反可用性。

您何时需要通知监管机构?

GDPR第33条第(1)款要求控制者在意识到个人数据泄露后72小时内将其告知监管机构。

WP29认为,如果控制器有合理程度的确定性发生了会导致个人数据遭到破坏的安全事件,则该控制器将变为“感知”。例如:

  • 未加密CD的丢失–控制器在意识到CD丢失时会意识到,尽管不知道是否有未经授权的人员可以访问数据
  • 第三方通知控制器他们意外接收到客户的个人数据–控制器一被通知就会立即知道
  • 网络犯罪分子在入侵其系统后要求索要赎金–控制器立即意识到

需要向监管机构报告哪些信息?

除了GDPR第33(3)条之外,WP29建议,通知应包括个人类型的详细信息,以及受影响的个人的大概数量和有关的个人数据记录(如果没有确切的详细信息)。

您何时需要通知个人?

必须告知个人因违反而可能在其权利和自由上带来高风险的地方。与个人的所有沟通都必须以清晰明了的语言进行,并包括应向监管机构报告的大多数信息。

处理器义务呢?

GDPR第33条第2款要求处理者在意识到违规行为后“无故拖延”通知控制者。相反,WP29建议应要求处理器通知控制器 立即 帮助控制者在72小时内履行其通知义务。

因此,以准则的最终版本为准,对于公司而言,最好阅读与服务提供商签订的协议中规定的时间表。

违规制裁

未能通知个人数据违规行为可能会导致高达全球年营业额2%的罚款。但是,WP29指出,未通知违规行为可能表明现有安全措施的缺失或不充分,这可能会因未能遵守GDPR第32条而被处以最高2%的单独罚款。因此,对于控制器而言,重要的是要正确考虑他们所拥有的管理违规报告的系统。

何时不需要通知监管机构?

如果违反“很可能导致自然人的权利和自由受到威胁”,则无需向监管机构报告(GDPR第33(1)条)。例如:

  • 在个人没有风险的情况下,无需通知已经公开可用的涉及个人数据的违规行为。
  • 只要使用了最先进的算法并且密钥没有受到破坏,就无需报告有关加密数据丢失的违规行为。但是,如果随后发现该密钥受到破坏,则需要重新评估风险,并且可能需要通知。

您需要通知哪个监管机构?

如果违规行为影响一个以上成员国的个人个人数据,则控制者将需要通知首席监管机构。管制员在起草违规应对计划时应对主要监管机构进行评估。

记录违规

GDPR要求控制者记录任何个人数据违规,无论是否需要通知违规。此外,控制者应建立内部违规记录,并记录针对违规做出决定的原因,尤其是在未通知违规的情况下。

下一步

该准则仍处于草案形式,并在2017年11月28日之前公开征求公众意见,但它们提供了一个有用的起点。考虑到所涉及的工作量以及未通知的潜在责任,企业应该开始实施流程,以便能够检测并及时遏制数据泄露,评估风险并确定是否需要通知监管部门或个人。