在GDPR在个人数据泄露通知和沟通职责徳赢中国

正如我们在《一般资料保障规例》(徳赢中国GDPR)页有关于个人数据泄露通知严格规定。这些职责涵盖了最终GDPR文本的几个GDPR文章还回来多次在音乐会。徳赢中国

如违反个人资料可能会对该自然人的权利和自由构成高风险,总监应毫不迟延地通知该资料当事人有关个人资料的泄露,以便该当事人采取必要的预防措施(徳赢中国GDPR独奏86)

一个明显的个人资料数据泄露是可能发生在我们所有人身上的最糟糕的事情之一:使用官方的GDPR语言,消费者或数据主体,以及组织/公司徳赢中国(包括数据处理器数据控制器一样。

我们可能没有扩大太多上。数据泄露都是坏的,如果他们包括个人资料,他们往往更为严重,而且当“坏人”也有机会获得特殊类型的个人数据需要被额外照顾关闭(敏感个人资料、儿童个人资料等)任何严重的典型后果(个人)数据泄露,如声誉受损,直接成本,间接成本和更变得更加显著。

徳赢中国GDPR个人数据泄露通知和通信职责规则,条件和角色的处理器,控制器,监管当局和数据主体

控制器和处理器的个人数据泄露通知义务

这当然也从一个时徳赢中国GDPR细视角。如涉及个人资料被盗取或查阅可能对涉及其资料的资料当事人构成风险的个人资料,以及在遵守《基本法》方面出现问题徳赢中国(严格地说,在出现违约的情况下,这是不需要的,每个人都知道没有什么是完美的网络安全和坏人越来越多很聪明,经常甚至有点超前)现在是关于GDPR合规的关键时刻,控制器和处理器之间的责任博弈可以开始了。徳赢中国

存在用于下GDPR数据控制器和数据处理器几个共同责任。徳赢中国责任在个人数据泄露的情况下,是一个明显的例子,所以是个人数据泄露通知义务。

在GDPR文本徳赢中国中,个人资料泄露被定义为违反保安而导致传送、储存或以其他方式处理的个人资料意外或非法销毁、遗失、更改、未经授权披露或查阅。

个人资料泄露的通知并没有真正的定义,但实际上是指当个人资料泄露已经发生并且所涉及的数据控制器和数据处理器已经知道的情况下,有义务通知适当的情况。

在个人资料被泄露的情况下,控制官的通知和沟通职责

虽然不是的一部分数据对象的权利在非常严格的意义上说,知情权和有关个人数据泄露通知和通讯几个职务的后果也形成一个更广泛的意义GDPR下资料当事人的权利。徳赢中国

采取措施,最明显的是尽量减少违约行为影响和风险不能等到它通知后...

此外,在某些情况下,如有违反个人资料的情况,政府亦有责任通知资料当事人。后者是管事人的责任,而管事人已向监管当局

关于那块更大的个人数据泄露通知义务的规则是比较出名:

  • 朝(适当的)监管当局需要的个人数据泄露通知发生没有不必要的延迟后的数据控制器意识到违约的,
  • 除非有非常充分的理由,管制员需要在其通知中增加可能超过该时限的通知,否则在72小时内,
  • 当个人资料的泄露可能会对资料当事人的权利和自由带来风险时(不仅是在管辖范围内,而且超出管辖范围)。徳赢中国

显然,个人数据泄露通知需要配备关于违反了一堆的信息,人们对获得触摸(例如:保障资料主任或DPO、受影响的资料种类、受影响的资料当事人数目、自入侵事件发生以来所采取的措施等。

数据处理器的个人数据通知义务违约

如上所述,处理器也有违反通知的义务。还能是什么呢?

个人资料泄露,如果不是在一个适当的和及时解决,导致身体、物质或非物质损害损失等自然人控制他们的个人数据或限制他们的权利,歧视,身份盗窃或欺诈,经济损失,未授权pseudonymization逆转,损害声誉,丧失受专业机密保护的个人资料的机密性,或对有关自然人造成任何其他重大经济或社会不利(徳赢中国GDPR独奏85)

首先,发现个人数据泄露的数据处理器必须通知要求进行数据处理的实例:控制器。这不仅是责任的问题,而且…

数据处理器对控制器有很多责任和义务,这是其中之一。数据处理器不仅要辅助控制器,控制器还必须从GDPR风险和遵从性的角度来选择他们可以依赖的处理器。徳赢中国

很明显,在处理器的水平的个人数据泄露的情况下,很多的推移在两者之间和处理器需要通知控制器。而且他们没有有72小时时间:它的ASAP(意思是没有不必要的延误)。

资料当事人在违反个人资料通讯范围内的“权利”

GDPR徳赢中国并不太关心控制器或处理器的所有成本、麻烦、潜在的讨论和其他后果,当然首先并不关心这些(但它也关心控制器,你将在下面读到)

应考虑到违反个人资料的性质和严重性,以及违反个人资料的后果和对资料当事人的不利影响,以确定有关通知没有不应有的延误(徳赢中国87年GDPR独奏)

条例旨在保障个人资料,以及保障资料当事人在个人资料和私隐方面的权利和自由,是一个法律架构。

这就是为什么违反了数据主体的风险占据了中心舞台在上述所有。而且,这也是为什么有个人数据泄露通知义务(正式通讯任务)从控制器到数据主体。

同样,这项责任只适用于个人资料泄露可能会对资料当事人的自由和权利造成高风险,而且需要尽快进行的情况。当然,这是审计员的职责,而且完全符合GDPR的精神,需要以透明、可理解的方式和清晰明了的语言进行。徳赢中国

然而,控制人对资料当事人的违约通知义务的例外情况多于对监管部门的违约通知(从处理器到控制器)

例如,它在什么时候是不需要的

  • 加密已经被使用,再次显示了GDPR对加密的热爱,尽管其他技术和组织措施也可以成为对数据主体的通徳赢中国信义务的例外,
  • 自个人资料泄露事件发生后,资料管制员已采取必要措施,以防止可能发生的风险,
  • 使所有受影响的数据主体成为主体的努力将会太高,或者,让我们说,不成比例。然而,必须有一些其他形式的沟通,以便以“同样有效的方式”通知数据主体。例如,这可以是一种公共交流。当不好的事情发生时,我们确实不喜欢这样做。

最后但并非最不重要的是,监察当局在向资料当事人传达违反个人资料的责任方面拥有最后发言权可以让控制器更快地移动,或者反过来,决定控制器满足了刚才提到的讨论中的任何例外情况。正如您可以从这些异常中读出的那样(以及在GDPR相关文章中)徳赢中国确实存在潜在的讨论空间(例如关于那些足够的技术和组织措施,定义不成比例意味着什么,无疑是一个相对的概念,也需要在范围的违反是怎么坏的,在测量真的发生了足够阻止风险的发生)

在设定关于格式和程序,适用于个人数据泄露的通知细则,因应考虑到违约的情况下,(徳赢中国88年GDPR独奏)

类似的讨论可以在个人数据泄露通知义务以及来自GDPR演奏的“无故拖延”的通知中表明这一概念的相对性和上下文引用其他级别的过程中,发生。徳赢中国

显然,遵守有关个人资料泄露通知和通讯的规定并不意味着不会发生其他后果。把它看作需要采取的许多步骤之一,消除个人数据泄露的风险很可能是你“此时此地”的第一份工作。

损害控制,并采取措施,尽量减少在违反的情况下,影响和风险最明显的是不能等到它通知后...

在信息图表的个人数据泄露通知和通讯

通过恢复这一切在一个更直观的方式的方式下面是表示所说的规则精髓小信息图表。

徳赢中国GDPR -通知和通讯个人资料泄露信息图

顶部图像:Shutterstock - Copyright:Rawpixel.com-所有其他图像是他们各自提到的所有者的财产。虽然这篇文章的内容是彻底检查,我们不负责潜在的错误,并建议您寻求协助,以准备欧盟GDPR合规。徳赢中国