2016年9月19日,巴伐利亚州数据保护局(“DPA”)发布了新的 指导文件 关于根据新的欧盟通用数据保护条例(“GDPR”)的过程中 无约束力 DPA定期发布与GDPR相关的选定主题的指导文件。这些文件可以在 DPA的官方网站.

起点:现行法律框架

DPA指出,有多种方式可能会使个人数据落入未经授权的手中。在当前的法律框架下,必须通知未经授权的个人数据访问(俗称“数据泄露”);但是,仅在某些情况下。根据《联邦数据保护法》第42a条(Bundesdatenschutzgesetz – BDSG),则需要满足两个要求才能触发通知的义务:

  1. 受影响的个人数据必须非常 敏感 数据,例如银行和健康数据。
  2. 受影响的数据主体必须具有很高的风险,即必须存在严重阻塞的威胁。

DPA认为,这些要求导致的结果是,迄今为止,仅通知了很少的违规行为。此类通知的每年数量在两位数范围内。但是,DPA认为很可能存在大量未发现且因此未通知的违规行为。如果发生了触发通知义务的违规行为,则还需要通知受影响的数据主体。

GDPR下的法律框架:门槛明显降低

GDPR在第33条和第34条中规定了处理个人数据泄露的行为。根据GDPR,存在一种通知义务的分级系统:

  1. 一般规则是,应将个人数据泄露通知主管监管机构,“除非个人数据泄露不太可能导致风险“自然人”。
  2. 但是,只有在个人数据泄露很可能导致“高风险为自然人的自由权。

此外,如果控制者已采取适当的技术和组织保护措施,尤其是那些使个人数据无法被无权访问的个人理解(例如加密)的措施,则无需与数据主体进行通讯。

如果控制者采取了后续措施以确保不再可能出现数据泄露时对权利和自由所构成的高风险,则同样适用。 DPA强调,监管机构必须澄清如何在日常实践中处理这种情况。

是否应将每个个人数据泄露通知监管机构?

DPA比较了GDPR的英文​​版和德文版。在DPA看来,这种比较得出的结论是,一般而言,每次数据泄露都应通知主管监管机构,“除非个人数据泄露不太可能给自然人的权利和自由带来风险”(德语版本:“es sei denn,dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risikofürdie Rechte 和 FreiheitennatürlicherPersonenführt”)。

DPA假定正确评估此要求对企业可能具有挑战性,因为在大多数情况下不能排除存在这种风险。因此,DPA期望监管机构将协调适当风险分析的标准和通知义务。

通知的范围和日期

通知需要在72小时内提交给主管监管部门。仅在有正当理由的情况下才可以延长该期限。根据GDPR第33条发出的通知应包括以下内容:

  • 个人数据泄露的性质
  • 有关个人数据记录的类别
  • 数据主体和数据记录数
  • 对数据主体的后果的估计,以及控制者为解决个人数据泄露将采取或提议采取的措施,或减轻其可能产生的不利影响的措施

要求公司遵守通知义务

DPA强调公司应遵守通知义务。鉴于有可能在不遵守规定的情况下对公司处以行政罚款,这一点尤其适用。行政罚款可能高达1000万欧元,占相关公司营业额的2%(请参阅我们的 关于DPA关于GDPR制裁的指导文件的博客)。

外表

DPA解释说,个人数据泄露的后果很难计算,不仅可能导致客户丧失信心和业务合作伙伴的声誉,还可能导致很高的财务损失风险。因此,DPA认为与监管机构的积极而全面的合作不仅有助于减轻此类损失,而且可以确保适当告知受影响的数据主体。

在这方面,DPA迫切期待进一步的发展。特别是,数据控制者是否将遵守新的通知要求,以及监管机构如何应对可能增加的通知和工作量,还有待观察。

最后,DPA宣布正在为数据控制器开发在线服务,该服务将启用有效的通知程序。