如果发生个人数据泄露,您需要确定公司是数据控制者还是数据处理者,因为两者都有单独的通知报告义务。
公司将成为数据控制者,从数据主体收集个人数据并确定处理的目的和方法。
公司将成为数据处理者,根据数据控制者的指示,代表数据控制者处理个人数据。
您的公司将会把这些信息归类为其处理记录 (RoPA) 的一部分。
数据处理器
数据处理者必须尽快通知数据控制者。您可能已经同意了具体的通知程序和时间表。您应该确定您是否有具体的合同报告义务。数据控制者 whatsapp 号码数据 可能需要有关违规的更多信息。您应积极让数据控制者及时了解所有更新。请记住,您有义务根据要求向数据控制者提供更多信息。
数据控制者
并非所有个人数据泄露都会触发向监管机构或数据主体通知的义务。数据控制者必须确定泄露是否对自然人的权利和自由构成风险。风险分析应根据下表中列出的标准和以下测试进行:
- 公司必须通知相关监管机构,个人数据 如何在网上营销你的农产品 泄露可能会对自然人的权利和自由造成风险
- 公司必须仅在违规行为可能对自然人的权利和自由造成高风险的情况下才通知受影响的个人
风险分析至少应该涉及以下问题:
- 个人是否可能受到影响,以及
- 这种影响是否很大
几乎任何事情都可能对自然人的权利和自由构成风险。增加一个外部因素可能会将无风险变成风险。触发向监管机构通知义务的风险标准相对较低。相反,触发向受影响个人额外报告的高风险标准则相对较高。
数据主体的权利和自由面临风险的可能性和严重程度应根据处理的性质、范围、背景和目的来确定。风险评估至少应考虑以下因素:
-
个人数据泄露的类型
例如,将医疗信息泄露给未经授权方的保密性泄露可能对个人造成的后果与个人医疗详细信息丢失且无法再获取的泄露不同
- 个人信息的性质和敏感性
通常,数据越敏感,受影响人员受 巴西号码列表 到伤害的风险就越高。但是,请考虑以下几点:- 背景:个人的姓名和地址不被视为敏感信息,但是,如果将养父母的姓名和地址披露给亲生父母,则对养父母和孩子而言,后果可能非常严重。
-
- 相反,其他明显公开的个人数据可能不会对其他情况下的个人构成可能的风险
- 数据的潜在用途:涉及健康数据、身份证件或信用卡详细信息等财务数据的个人数据泄露本身都可能造成危害,但如果一起使用,则可能被用于身份盗窃
-
个人数据的数量
请注意,少量高度敏感的个人数据可能会对个人产生重大影响;而细节的组合可能会揭示有关该个人的更多信息。此外,影响许多个人的大量个人数据的泄露可能会影响相应大量的个人
- 无论涉及“特殊类别”的个人信息还是与刑事定罪和犯罪有关的数据,
当个人信息泄露涉及披露或包括以下内容的个人信息时,应认为可能发生损害:
- 种族或民族血统
- 政治观点
- 宗教或哲学信仰
- 工会会员资格
- 遗传数据
请注意,假名化数据可以降低个人被识别的可能性,但就其本身而言,假名化技术并不被视为使数据变得难以理解
对个人造成的后果的严重性
请考虑以下标准:
- 后果类型——特别严重的后果包括身份盗窃或欺诈、身体伤害、心理困扰、羞辱或名誉损害
- 后果的持久性——如果影响是长期的,则影响可能被视为更大。
- 谁可能访问过个人信息?
- 如果个人数据落入意图不明或可能恶意的人手中,这可能会影响潜在风险的程度
- 接收者可能被视为“值得信任的”(例如,个人数据被意外发送到组织的错误部门或常用的供应商组织)
即使数据已被访问,公司仍然可以信任接收者不会对其采取任何进一步行动并及时返回数据。