欧洲数据保护委员会发布了关于数据违规通知的例子指南-k8凯发棋牌


欧洲数据保护委员会发布了关于数据违规通知的例子指南
作者:百家号 发布时间:2021-01-23

2021年1月18日,欧洲数据保护委员会(edpb)发布了关于数据泄露通知(the guidelines)的2021 / 01指南草案。该指南补充了2018年2月第29条工作组通过的《欧盟一般数据保护条例》(gdpr)下关于个人数据泄露通知的初步指南。新的指南草案考虑了监管机构自2018年5月gdpr适用以来在数据泄露方面的常见经验。edpb的目的是协助数据管制人员决定如何处理数据泄露,包括确定他们在进行风险评估时必须考虑的因素,以决定是否必须将数据泄露报告给有关监管机构和/或受影响的数据当事人。

6a600c338744ebf83b7ed65d6e3d3b2d6159a795.jpeg

指南草案包括常见的数据泄露场景,包括(1)勒索软件攻击,恶意代码加密个人数据,攻击者随后要求控制器支付赎金以换取解密代码;(2)数据泄露攻击,利用控制器提供的在线服务的漏洞,通常旨在复制、窃取和恶意滥用个人数据;(3)根据edpb,导致数据泄露的人为错误相当常见,可以是有意的也可以是无意的;(四)遗失、被盗的设备和纸质文件;(五)因人为失误而无恶意致错的;(6)社会工程,如身份盗窃和电子邮件泄露。

对于指南中描述的每个案例,epdb确定了相关的报告(即监管机构和/或受影响的数据主体)和补救义务。在指南中,edpb还回顾了组织应考虑的数据泄漏管理和响应的几个关键要素,包括:

a) 主动识别系统漏洞,防止数据泄露的发生;

b)评估违约是否可能对数据当事人的权利和自由造成风险。该评估应在组织意识到漏洞时进行。管制员不应等待详细的法医检查和缓解措施来拖延通知;

c)推行有关如何处理数据泄露的计划、程序和指引(例如以手册的形式),并订定清晰的报告路线和负责恢复程序的人员;

d)组织培训,提高数据泄露管理意识。培训应定期进行,并应根据财务主任的处理和业务活动进行调整。还应更新培训,以处理最新的趋势和警报;

e)记录每一个案例中的漏洞,不管它们带来的风险。

该指南将于2021年3月2日之前公开征求公众意见,反馈意见可以提交。

指南地址:https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202101_databreachnotificationexamples_v1_en.pdf

提交地址:https://edpb.europa.eu/our-work-tools/public-consultations-art-704/reply-form?node=1179https://edpb.europa.eu/our-work-tools/public-consultations-art-704/reply-form?node=1179

来源:https://baijiahao.baidu.com/s?id=1689403090853417012&wfr=spider&for=pc

微信图片_20210104161948.jpg


网站地图