打开手机,扫一扫二维码
即可通过手机访问网站
打开微信,扫一扫二维码
订阅我们的微信公众号
近日,欧盟数据保护委员会(EDPB)发布《GDPR个人数据事故通知指南2.0》(Guidelines 9/2022 on personal data breach notification under GDPR 2.0)(以下简称《通知指南》),更新了发生个人数据事故后如何通知相关主体的操作规则。本文将以问答形式介绍《通知指南》中的主要条款,以供大家参考。
不是的,根据《通知指南》第35条,数据处理者应当评估对个人权益受到影响的可能性并进而确定是否报告监管机构,以及需要采取的措施。为此,数据处理者应当建立内部制度以能够发现和处理数据事故。比如,用一些技术措施比如数据流和日志分析器通过关联日志数据发现网络事件并报警。一旦监测到安全事件第一时间上报管理层以确保正确处理。上述措施和报告制度可以在应急方案中详细列明。[2]
根据GDPR第33(3)条,应该向监管机构提供:1)数据安全事故的性质包括个人信息主体的种类及大概数量以及个人信息记录的种类及大概数量;2)数据保护官或其他联系人的姓名和联系方式以便监管机构获取更多信息;3)事故可能后果;4)已经采取或建议采取的措施,如有可能,也包括减少负面影响的措施。但对个人信息主体或个人信息记录的种类GDPR并未规定。根据《通知指南》第50条,个人信息主体种类可以包括儿童或其他弱势群体、残疾人、雇员或顾客。个人信息记录的种类可以包括医疗信息、教育记录、金融情况、银行账号、护照号等。提供这些信息的目的是确定是否存在特定伤害的风险从而将损害降到最低。提供上述信息时并不要求确切的数字。
可以。当短时间内遇到类似的安全事故时可以超过72小时报告,但如果是不同类型的安全事故需要在72小时内单独报告。[3]
根据GDPR第33(1)条,当数据事故不会影响数据主体的权益和自由时,可以不用报告监管机构。比如,事故发生后,使得本就处于公有领域的个人信息泄露。另外,如果个人信息被加密保护以致于未授权第三方根本无法接触到个人信息并丢失的个人信息只是一个副本或有备份,则这种事故则不需要报告监管机构。[5]比如存有个人信息的移动设备丢失了,而该移动设备具有开机密码其非常安全,此时可以不用报告。但如果以后发现密码被破解或者加密软件或算法容易被破解,则此时就要向监管机构报告了。这也就要求数据处理者充分了解其处理数据的各项加密措施的功能和级别了。
根据GDPR第34(1)条,当数据安全事故可能对自然人的权利和自由带来较高风险时,数据处理者需要毫无迟延地将数据安全事故告知个人信息主体。据此,告知个人信息主体的门槛要高于向监管主体报告的门槛。
数据处理者应当向个人信息主体告知如下信息:
原则上逐一告知,只有当受影响的个人信息主体数量特别多以致逐一告知将给数据处理者带来与告知不相匹配的工作量时才可以通过发公告等公众能够知悉的方式进行统一告知。[7]
由于监管机构比个人信息主体提前得到数据事故的消息,其有可能会单独或联合其他执法机构展开调查,而此时如果他们觉得过早向个人信息主体告知安全事故时可能影响调查。这时,数据处理者可以在征得监管机构同意的情况下,暂缓向个人信息主体告知数据事故。[9]
根据GDPR第34(3)条,符合下列情形之一的,可以豁免告知义务: