除个人数据泄露后果的严重性,但并不意味着没有发生个人数据泄露。因此,记录义务仍然适用
- 是否可能产生负面影响
监管指南提供了几种可能导致或不可能导致可报告的个人数据泄露的违规行为示例:如果发生加密数据的机密性泄露(例如,加密的 USB 设备丢失),如果加密是最先进的并且加密密钥没有被泄露(即数据原则上是不可理解的),则这不太可能对个人造成风险还可能出现其他类型的负面后果——例如,如果公司没有备份(或者公司有备份,但无法及时恢复),因此无法以可能对个人造成负面影响的方式访问信息,个人的特殊特征
个人信息泄露可能会影响儿童 菲律宾数据 或其他弱势群体的个人信息,这些人可能因其特殊特征而面临更大的危险风险公司的特殊特征
评估风险时还应考虑公司的特殊特征。如果公司的特征可能产生影响,则这些特征应成为评估的一部分
例如,如果公司参与“风险处理活动”,包括但不限于使用“新技术”处理数据、大规模处理(例如区域、国家、超国家),或基于自动化处理对个人方面进行系统和广泛的评估,并据此做出有关个人的决策,
如果您确定自然人的权利和自由存在风险,请通知监管机构。但是,如果您确定自然人的权利和自由不存在风险,则无需通知监管机构。但我们建议您咨询您的法律顾问进行确认。
步骤 4:如果公司是数据控制者,确定风险是否属于高风险
如果确定自然人的权利和自由存在风险,则必须进一步确定该风险是否属于高风险。
如果您确定自然人的权利和自在新奥尔良从事网络安全工作需要哪些技能? 由可能面临高风险,除了通知监管机构之外,还必须通知受影响的个人。
您应考虑并权衡上述因素,同时牢记个人数据泄露可能对受影响个人造成的潜在影响(严重性、影响持续时间等)。接下来,考虑是否适用豁免。在以下任何情况下,通知受影响个人的要求均不适用。但是,公司所遭受的困难、付出的努力和/或费用不属于例外,也不是延迟通知的理由。我们强烈建议您在使用例外之前获得法律批准。
可用的例外情况有:
- 在发生个人数据泄露之前,公司已采取适当的技术和组织措施来保护个人数据,特别是那些使未经授权访问个人数据的任 最新评论 何人无法理解个人数据的措施
- 个人数据泄露事件发生后,公司立即采取措施,确保对个人权利和自由造成的高风险不再可能实现
- 联系个人需要付出不成比例的努力,也许他们的联系方式已经因为个人数据泄露而丢失,或者根本不为人所知
如果您确定自然人的权利和
个人可能面临的风险很高,并且不存在例外情况,则必须向受影响的个人发出通知,其中必须包括以下信息:
- 关于个人数据泄露性质的信息
- DPO 或代表的姓名和联系信息
- 个人数据泄露可能造成的后果
- 公司为解决个人数据泄露问题已采取或拟采取的措施,包括减轻其可能造成的不利影响的任何措施
- 在适当的情况下,向个人提供具体建议,以保护自己免受个人数据泄露可能造成的不利后果
- 公司认为适当的任何其他相关信息
个人数据泄露应直接告知受影响的个人
公司可以决定使用哪些渠道。要求沟通“透明”。例如:
- 电子邮件、短信、直接消息
- 显眼的网站横幅或通知
- 邮政通信
- 平面媒体上的突出广告
仅限于新闻稿或公司博客的信息不太可能被视为“透明的”。
步骤 5:在内部数据泄露日志中记录泄露事件
无论公司是否确定需要通知监管机构或受影响的个人,都应记录所有个人数据泄露。
公司应保留与事件相关的所有表格的原件并将其或副本与日志一起保存。
数据泄露管理 – 数据隐私小组如何提供帮助
数据隐私小组是OneTrust 的优质合作伙伴。我们的专家团队获得了 CIPP/E 认证,并获得了 OneTrust 隐私技术研究员认证。
我们可以实施和配置 OneTrust 的事件和违规管理模块、AI 引擎和评估自动化模块,以确保指导您完成评估、记录和通知违规行为的过程,并遵守您所在司法辖区的数据隐私法。我们的持续管理服务将通过根据贵公司的变化或法律的变化调整和更新框架,确保您的违规响应计划始终如一。
如果您需要帮助管理违规行为,我们可以提供曾协助多家公司实时评估和处理违规行为的专家。
我们可以提供 OneTrust 数据隐私培训课程,或者通过我们的一项复杂的桌面违规演练来测试您的违规团队的准备情况。