1. 确定泄露的程度.
不管入侵是如何被发现的, 您需要做的第一件事之一是确定它的范围. 这个缺口的性质是什么? 什么样的信息被披露,修改,删除,等等.? 有关的数据主题的大致数目,以及有关的数据记录的类别和大致数目是多少?
参考事故响应计划确定哪些人员负责发现和分析漏洞. 您的事件响应计划还应包括可能的泄露后果,以及基于泄露信息类型的缓解策略. 所以,一旦你意识到一个漏洞,开始遵循计划中概述的缓解策略. 这可能意味着让数据库脱机或阻止所有远程访问,直到您知道入侵的程度.
2. 确定您需要向谁报告该漏洞.
GDPR引入了严格的违规通知要求, 值得注意的是,强加密可以帮助您维护数据的完整性,如果您遇到了漏洞. 它还可以帮助你证明,一个漏洞不太可能对用户造成损害,因为数据是不可用的,除非解密.
也就是说, 任何个人资料泄露, 除非它“不太可能对数据主体造成伤害”,(一)在发现后72小时内报告监察机关(见第三十三条).
在很多情况下,美国政府都是如此.S. 受GDPR影响的公司是服务提供商,代表欧盟的公司行事. 如果你属于这一类, 你是一个数据处理器, 你会向与你有业务往来的欧盟公司报告违规行为. 然后,该公司将负责向适当的监管机构报告违规情况.
然而,如果你是一个数据控制器,i.e. 您的公司“决定处理个人数据的目的和方式”,“你们有责任直接向与你们有业务往来的每个欧盟国家的监管机构报告. (关于“控制器”和“处理器”的定义,请参见第4条.)
如果“个人数据泄露很可能对自然人的权利和自由造成高风险”(见第34条),则还要求“不得不当拖延”向数据主体报告侵犯行为。.
然而, 如果你能证明以下任何一项, 您无需就违反约定(根据第34条)通知数据主体:
-
- “管制员已实施适当的技术和组织保护措施, 这些措施适用于受个人数据泄露影响的个人数据, 特别是, 使未获授权查阅该等个人资料的人无法了解该等个人资料的人士, 如加密;
-
- 财务主任已采取后续措施,以确保第1款所述的数据主体的权利和自由不再可能面临高风险;
-
- 这将涉及不成比例的努力. 在这种情况下, 相反,应采取公开通报或类似措施,以同样有效的方式告知数据主体.”
请注意:上述例外只适用于数据主体,而不适用于监管当局.
除非符合第三十三条(“不太可能对数据主体造成损害”)规定的例外情况,否则任何违规行为必须向监管机构报告。.
3. 在规定的时间内向相关人员报告正确的信息.
GDPR还规定了在向监管机构或数据主体通报违规信息时应报告哪些信息. 向监察机关报告时,应当(按第三十三条规定):
-
- 描述个人资料被泄露的性质,包括在可能的情况下, 有关的资料当事人的类别及大致数目,以及有关的个人资料记录的类别及大致数目;
-
- 通报数据保护官员或其他可获得更多信息的联络点的姓名和联系详情;
-
- 描述个人资料遭泄露的可能后果;
-
- 描述管制员为处理个人资料泄露而采取或拟采取的措施, 包括, 在适当的地方, 减轻其可能的不利影响的措施.”
当通知数据主体违反时, 通知必须“用清楚易懂的语言描述个人数据泄露的性质”,(见第三十四条). 你还必须遵守上述第33条的B、C和D项.
违规通知必须在监管当局和数据主体之间透明、清晰地处理. 如果不这样做,不仅会使您不符合GDPR法规,还可能损害您所在组织的声誉.
确保事故响应计划包括 违反沟通 原则,包括以下内容:
-
- 以事实为中心交流,而不是臆测.
- 确保传达的信息是一致的.
- 为客户提供了解数据泄露和查询数据的途径.
正如前面提到的, 违规行为必须在发现后72小时内向监管机构报告,并“不得无故拖延”向数据主体报告(见第三十三条和第三十四条)。.
GDPR规定的违规通知要求提出了新的和独特的挑战. LBMC信息安全的计算机事件响应服务可以帮助您计划和执行符合gdprm的事件响应计划.
今天明升体育app下载 了解我们如何帮助贵公司准备符合GDPR规定的所有要求.