数对信息隐私和安全泄露。精心设计和实施的数据泄露响应将确保将泄露事件造成的任何财务和声誉损失降至最低。如果泄露涉及个人信息,则财务损失还可能扩大到根据 GDPR、英国数据保护法或其他现行隐私法处以罚款。安全泄露非常严重,您必须制定计划并制定安全政策,以便不仅为您的客户提供支持,还为您的团队成员提供支持。
普华永道全球经济犯罪和欺诈调查显示
全球 70% 的企业尚未实施应对数据泄露的策略。如果您是尚未实施数据泄露响应的公司之一,请继续阅读!
现代数据隐私法规定控制和处 手机号码数据 理个人数据的公司必须履行义务。例如,《通用数据保护条例》(GDPR)(第 32-34 条)要求数据控制者在意识到其欧盟个人数据被泄露后 72 小时内通知监管机构,在某些情况下,还需通知受影响的个人。数据处理者也有类似的义务通知受影响的数据控制者。
现代数据隐私法也规定了数据最小化的义务。
什么是数据最小化?
“数据最小化”原则意味着数据控制者必 网络分析策略与规划 须将个人信息的收集限制在与实现特定目的直接相关且必要的范围内。他们还应仅在实现该目的所需的时间内保留数据。
什么构成数据泄露?
英国数据保护法和欧盟 GDPR 将个人数 最新评论据泄露定义为导致个人数据意外或非法破坏、丢失、更改、未经授权披露或访问的安全漏洞。
这包括因意外和故意原因造成的数据泄露。这也意味着数据泄露不仅仅是丢失个人或公司数据。
要求您报告违规行为的门槛
有两种情况,作为数据控制者的公司必须将个人数据泄露通知第三方。首先,如果泄露对“自然人的权利和自由构成风险”,数据控制者必须在 72 小时内通知适当的监管机构。其次,如果泄露对“自然人的权利和自由构成高风险”,数据控制者还必须通知受影响的数据主体。
当公司充当数据处理者时,它将对其数据控制者承担类似的通知义务。
通知期限因司法管辖区而异。例如,根据 GDPR,应及时报告可通知的违规行为,但不得晚于发现违规行为后的 72 小时。如果您花费的时间超过此时间,则必须说明延迟的原因。
第 29 条工作组关于个人数据泄露通知的指南第二部分更详细地说明了何时可以认为控制者已经“意识到”泄露的情况。