或者数据泄露是否越来越频繁?《国际财经时报》发表的一篇文章指出, 2015 年,三分之一的美国人的健康记录遭到泄露,黑客从零售业到医疗数据都追逐金钱。虽然网络安全专家在保护数据和培训员工以防止未来发生泄露方面已经做好了充分准备,但公司在收集、存储和处理个人数据时了解其义务至关重要。
现代数据隐私法规定控制和处理个
人数据的公司必须履行义务。例如,《通用数据保护条例》(GDPR)(第 32-34 条)要求数据控制者在意识到其欧盟个人数据被泄露后 72 小时内 手机号码数据 通知监管机构,在某些情况下,还需通知受影响的个人。数据处理者也有类似的义务通知受影响的数据控制者。
数据泄露管理的 5 个步骤是什么?
步骤 1:确定公司是否有潜在违规通知要求
是否发生违规?
GDPR 将个人数据违规定义为安全漏洞,导致意外 何时需要翻译公司以及何时不需要翻译公司的指南 或非法破坏、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据(“违规”)。
如果出现以下一项或多项情况,则发生违规:
- 销毁:个人数据被无意或非故意地销毁或删除
- 损坏:个人数据被错误更改、损坏或错误地不再完整
- 损失:个人信息可能仍然存在,但公司已失去对其的控制或访问权,或不再拥有该信息
- 未经授权或非法处理:个人数据已被披露给未经授权接收或访问数据的接收者,或被其访问,或被违反 GDPR 进行处理。
为了追踪目的,违规行为可分为以下几类:
- 违反保密规定:未经授权或意外披露或访问个人数据
- 诚信违规:未经授权 巴西号码列表 或意外更改个人数据
- 可用性违规:未经授权或意外丢失对个人数据的访问权限或破坏个人数据
如果“是”,是否涉及个人数据?
个人信息是指与已识别或可识别的自然人有关的任何信息。可识别的自然人可通过参考标识符直接或间接识别。可单独或组合构成个人信息的信息示例包括但不限于:
- 姓名
- 身份证号码
- 位置数据
- 照片
- 遗传或生物特征信息
- 社交媒体存在
- 在线标识符
- 电子邮件
个人数据是一个广泛而包罗万象的概念,包括经过标记或假名化的数据(如果可以使用附加信息将其归属于个人)。在考虑数据是否属于个人数据时,您应该考虑以下三个问题:
- 这些信息是否或者可以用来识别自然人?
- 如果这些信息与其他信息结合或链接,是否可以用来识别自然人?
- 处理信息的方法是否可以识别自然人?
如果选择“是”,那么 GDPR 是否适用于可能受到违规行为影响的特定个人数据?
- 您的公司是否在英国或欧盟成立(位于或运营)?
- 所涉及的个人数据是否是贵公司利用欧盟市场或监控英国或欧盟人员行为的结果?
- 数据是否涉及位于英国或欧盟的员工、客户或供应商?
第 2 步:通知监管机构
如果您认为初始事件观察记录中包含的信息值得向监管机构报告,则您应该通知相关监管机构。
如果您已意识到违规行为,但需要更多时间进行全面调查以了解其全部范围,则您不应将初始通知延迟超过 72 小时,而应向监管机构提供尽可能多的信息,然后在获得进一步详细信息后补充初始通知。这称为占位符通知。
如果在 72 小时内对违规行为知之甚少或预计知之甚少,您应尽快向监管机构提供初步的占位通知。