这篇文章是由 丹尼尔·凯达.

5月28日,法国人CNIL发布了与数据违规有关的新实际指导。新的第34条BIS已被添加到法国数据保护中,作为实施电信包的一部分,拟议电子通信提供商(ECP)通知“without delay”任何数据违规的法国人cnil。

因此,这些ECP是法国电信管理局(ARCEP)注册的电信运营商,因此也是如此 包括在法国运营的所有国际/外国电子通信提供商.

1. CNIL阐述了详细的局部情况,其中需要这种立即通知,包括:

  • 入侵ECP的客户数据库
  • 在线ECP-Boutique中的安全泄露,允许访问客户的信用卡号码
  • 向非相关第三方分发机密客户电子邮件
  • 在精品店的电信供应商的代理人丧失偿还合同文件

该指南还提到了不需要此类通知的情况:

  • 入侵国防部’s own HR database
  • 任何与活动有关的违约,与向公众提供电子通信服务

2.指导概述了在数据违规事件发生的过程中遵守的程序:对CNIL的通知必须提供有关数据违规性质和后果的全部信息;已实施和/或以响应违规行为的详细措施;确定在内部解决问题的人员联系的人;并估计违约者的数据所有者的数量。

3.另一个关键问题是公共和/或客户信息。该指导表明,上部有人有两个月的时间来对ECP作出反应’S通知并提供关于是否应通知受影响客户的指导。

如果违规是大规模的,并且被CNIL视为重要,那么法国数据保护机构可能需要对受影响客户的直接信息。

如果CNIL不需要此类直接信息,CNIL审查了ECP后可能需要客户信息’通知。如果法国数据保护机构考虑以解决数据违约所采取的措施,ECP只会向客户提供信息。尽管如此,在缺乏两个月时间范围内的CNIL的答复,需要向客户提供信息。

这对法国数据保护法的这种新增功能广泛:它适用于 所有ECP在法国运营 只要位于法国的一个客户受数据违规的影响,就可以被视为可执行的。

除了其他监管机构之外,这可能迫使ECP在任何情况下主动地通知法国监管机构。已重申基础内部公司违反数据违规行为的非通知制裁包括罚款€300,000,最多五年’监禁,虽然不遵守法国监管本身,可以通过罚款来制裁€300,000.