就在你下线前,开始考虑今
晚要看哪部 Netflix 剧时,财务团队给你回了电话。工资单刚从某人的办公桌边掉下来,但最终并没有丢失。
现在,上述情况显然是可以避免的。勤勉 目标电话号码或电话营销数据 的数据专业人员在意识到此类事件后,会进行调查,首先确定是否有合理的可能性发生违规行为。然而,这种情况确实类似于实际的“数据泄露”,在 2018 年 GDPR 生效后不久,ICO 就报告了这种情况。
近三年过去了,英国数据保护指数的最新调查结果显示,数据保护行业在报告违规行为时仍然渴望获得更大的清晰度,84%的受访者同意应该对违规通知有更具体的期望,并且需要澄清“意识到”数据泄露的定义。
现有指导
第33 条英国GDPR指出数据控制者必须通知 ICO个人资料除非不太可能对数据主体的权利和自由造成风险,否则应在发现违规行为后 72 小时内及时报告违规行为。第 87 条还规定,数据控制者应迅速确定安全事件是否构成数据泄露,并及时采 建立潜在客户名单 取措施解决,并在必要时向 ICO 报告。
ICO 则表示,控制者需要根据具体情况评估违规行为,考虑所有相关因素。除了一些网络研讨会和一般性评论外,自 GDPR 生效以来,ICO 几乎没有更新其立场。在撰写本文时,它仍然引用 2017 年第 29 条工作组 (Art. 29 WP) 指南,该指南解释说, 当谈到“意识到违规行为”时,控制者必须有合理的确定性,即导致个人数据被泄露的安全事件已经发生。
虽然这一指导意见可能是一个很好的起点,但事实证明,在实践中很难应用。考虑到 72 小时时钟不会因周末甚至银行假期而停止滴答作响,因此,一些数据控制者可能会惊慌失措,或者,在周五下午 4 点发现违规行为后,他们宁愿报告违规行为以避免产生疑问,然后享受周末,这也许是可以理解的。
新的 EDPB 指南
幸运的是,取代第 29 条 WP 的机构——欧洲数据保护委员会 (EDPB),刚刚于 2021 年 1 月发布了额外指南, “以帮助数据控制者决定如何处理数据泄露”,从理论上讲,这可以在某种程度上满足 数据保护指数参与者的胃口。
新指南旨在与 2017 年的材料一起阅读,其中引用了 18 个虚构的案例,这些案例基于整个欧洲经济区监管机构的集体经验。
对于每个案例研究,都有关于可以采取哪些预先措施来降低违规发生可能性的指导,以及关于违规发生时的风险评估和缓解措施的建议。此外,也许最重要的是,每个违规行为都会被分配一个判决:
- 无风险(仅内部注册);
- 风险(报告给监督机构);或者
- 高风险(向监管机构和资料主体)
值得等待吗?
鉴于“数据泄露”一词的广泛含义——基本上是 最新评论 指任何可能危及某人个人数据的机密性、完整性或可用性的事情——这份指南无疑会受到拥有和不拥有专业数据保护知识的人士的欢迎。
尽管如此,所选的例子(加密设备丢失、勒索软件攻击、员工泄露数据)以及由此得出的一些建议,对于业内人士来说可能有些显而易见。如果你参与其中并尝试猜测每个案例研究的结论(哦,我们数据专业人士的乐趣),你很可能每次都会猜对。