什么是数据泄露?必须满足哪些报告期限?
Posted: Mon Feb 10, 2025 5:04 am
GDPR 下的数据泄露和报告义务
2024 年 12 月 2 日
了解数据保护——GDPR 下的数据泄露和报告义务
如果所谓的数据泄露真的发生,责任人必须迅速采取行动。欧洲通用数据保护条例 (GDPR) 包含各种期限,在这种情况下,责任人必须严格遵守。此外,除了向负责数据保护的监管机构报告数据泄露之外,控制者还可能承担其他义务。因此,负责人必须确切知道在发生数据泄露时该如何采取行动。在我们的博客文章中,您将了解什么是数据泄露以及如果发生数据泄露您需要采取哪些步骤。
内容:
向主管数据保护监督机构提交的报告必须包含哪些内容?
有义务通知数据主体吗?
违反这些要求会有什么后果?
GDPR 数据泄露
什么是数据泄露?必须满足哪些报告期限?
数据保护事件或数据泄露,或者根据 GDPR 第 33 条第 1 款第 1 项正式称为“违反个人数据保护”,正是每个控制者都应该避免的情况。但是,如果确实发生了此类数据保护事件,则必须建立某些机制,以便及时向主管监督机构报告(“立即并在 72 小时内”,参见 GDPR 第 33 条第 1 款),以满足法定的报告期限。否则,无论实际发生什么数据保护事件,延迟通知(尤其是未能通知)本身就构成了数据保护违规行为,参见 GDPR 第 83 条第 4 款 a 项。因此,如果未及时报告数据泄露,除了数据保护泄露本身之外,主管数据保护机构还可能因违反《GDPR》第 33 条规定的报告义务而处以额外罚款。在最糟糕的情况下,责任人可能面临数额甚至更高的罚款。
还应注意的是,根据《GDPR》第 33 (2) 条,处理者必须立即向控制者报告任何违反个人数据保护的行为。
向主管数据保护监督机构提交的报告必须包含哪些内容?
根据 GDPR 第 33 条,个人数据保护违规通知的内容必须至少包含以下信息,这些信息在 GDPR 第 33 条第 3 款中列出:
个人数据泄露性质的描述,包括(如可能)受影响的数据主体的类别和大致数量、受影响的个人数据记录的类别和大致数量(GDPR 第 33(3)(a) 条)
数据保护官或其他联络点的相应姓名和联系方式(GDPR 第 33 条第 3 款 b)
个人数据泄露可能造成的后果描述(GDPR 第 33 条第 (3) 款 (c) 项)
控制者为补救个人数据泄露而采取或提出的措施的描述,以及在适当情况下减轻其可能产生的不利影响的措施(GDPR 第 33 (3) (d) 条)
GDPR 第 33(4)条明确规定,如果信息无法同时提供,则控制者可以分阶段提供这些信息,而不会出现不必要的拖延。
还应注意的是,责任人对于违反个人数据保护的行为负有记录义务。根据 GDPR 第 33(5) 条,控制者必须记录个人数据泄露情况,包括与个人数据泄露相关的所有事实、其影响以及采取的补救措 菲律宾号码数据 施。该文件的设计必须使得监管机构能够验证是否符合 GDPR 第 33 条。
有义务通知数据主体吗?
除了报告义务之外,在发生违反个人数据保护的情况时还可能产生进一步的义务:如果满足《GDPR》第 34 条规定的要求,则控制者必须通知受到违反个人数据保护影响的人员。根据 GDPR 第 34 条第 1 款,如果违反个人数据保护可能会对自然人的个人权利和自由造成高风险,则属于这种情况。然后必须以清晰明了的语言告知数据主体个人数据泄露的性质。此外,向数据主体发出的通知必须至少包含《GDPR》第 33(3)(b)、(c) 和 (d) 条中提到的信息和措施。违反此义务还将构成单独的罚款,参见 GDPR 第 83 条第 4 款 a) 项。
相反,如果满足以下条件之一,则无需根据 GDPR 第 34 条第 3 款通知数据主体:
控制者已经实施了适当的技术和组织安全措施,并且这些措施已应用于受泄露影响的个人数据。这尤其包括使所有未经授权访问个人数据的人员无法访问个人数据的数据,例如通过加密。
如果控制者已经采取后续措施确保根据《GDPR》第 34 (1) 条对数据主体的权利和自由的高风险很可能不再存在,则也不需要通知数据主体。
如果 GDPR 第 34 条第 1 款含义内的通知会涉及不成比例的努力。在此情况下,应采取公开公告或类似措施,以同等有效的方式向有关人员提供信息。
2024 年 12 月 2 日
了解数据保护——GDPR 下的数据泄露和报告义务
如果所谓的数据泄露真的发生,责任人必须迅速采取行动。欧洲通用数据保护条例 (GDPR) 包含各种期限,在这种情况下,责任人必须严格遵守。此外,除了向负责数据保护的监管机构报告数据泄露之外,控制者还可能承担其他义务。因此,负责人必须确切知道在发生数据泄露时该如何采取行动。在我们的博客文章中,您将了解什么是数据泄露以及如果发生数据泄露您需要采取哪些步骤。
内容:
向主管数据保护监督机构提交的报告必须包含哪些内容?
有义务通知数据主体吗?
违反这些要求会有什么后果?
GDPR 数据泄露
什么是数据泄露?必须满足哪些报告期限?
数据保护事件或数据泄露,或者根据 GDPR 第 33 条第 1 款第 1 项正式称为“违反个人数据保护”,正是每个控制者都应该避免的情况。但是,如果确实发生了此类数据保护事件,则必须建立某些机制,以便及时向主管监督机构报告(“立即并在 72 小时内”,参见 GDPR 第 33 条第 1 款),以满足法定的报告期限。否则,无论实际发生什么数据保护事件,延迟通知(尤其是未能通知)本身就构成了数据保护违规行为,参见 GDPR 第 83 条第 4 款 a 项。因此,如果未及时报告数据泄露,除了数据保护泄露本身之外,主管数据保护机构还可能因违反《GDPR》第 33 条规定的报告义务而处以额外罚款。在最糟糕的情况下,责任人可能面临数额甚至更高的罚款。
还应注意的是,根据《GDPR》第 33 (2) 条,处理者必须立即向控制者报告任何违反个人数据保护的行为。
向主管数据保护监督机构提交的报告必须包含哪些内容?
根据 GDPR 第 33 条,个人数据保护违规通知的内容必须至少包含以下信息,这些信息在 GDPR 第 33 条第 3 款中列出:
个人数据泄露性质的描述,包括(如可能)受影响的数据主体的类别和大致数量、受影响的个人数据记录的类别和大致数量(GDPR 第 33(3)(a) 条)
数据保护官或其他联络点的相应姓名和联系方式(GDPR 第 33 条第 3 款 b)
个人数据泄露可能造成的后果描述(GDPR 第 33 条第 (3) 款 (c) 项)
控制者为补救个人数据泄露而采取或提出的措施的描述,以及在适当情况下减轻其可能产生的不利影响的措施(GDPR 第 33 (3) (d) 条)
GDPR 第 33(4)条明确规定,如果信息无法同时提供,则控制者可以分阶段提供这些信息,而不会出现不必要的拖延。
还应注意的是,责任人对于违反个人数据保护的行为负有记录义务。根据 GDPR 第 33(5) 条,控制者必须记录个人数据泄露情况,包括与个人数据泄露相关的所有事实、其影响以及采取的补救措 菲律宾号码数据 施。该文件的设计必须使得监管机构能够验证是否符合 GDPR 第 33 条。
有义务通知数据主体吗?
除了报告义务之外,在发生违反个人数据保护的情况时还可能产生进一步的义务:如果满足《GDPR》第 34 条规定的要求,则控制者必须通知受到违反个人数据保护影响的人员。根据 GDPR 第 34 条第 1 款,如果违反个人数据保护可能会对自然人的个人权利和自由造成高风险,则属于这种情况。然后必须以清晰明了的语言告知数据主体个人数据泄露的性质。此外,向数据主体发出的通知必须至少包含《GDPR》第 33(3)(b)、(c) 和 (d) 条中提到的信息和措施。违反此义务还将构成单独的罚款,参见 GDPR 第 83 条第 4 款 a) 项。
相反,如果满足以下条件之一,则无需根据 GDPR 第 34 条第 3 款通知数据主体:
控制者已经实施了适当的技术和组织安全措施,并且这些措施已应用于受泄露影响的个人数据。这尤其包括使所有未经授权访问个人数据的人员无法访问个人数据的数据,例如通过加密。
如果控制者已经采取后续措施确保根据《GDPR》第 34 (1) 条对数据主体的权利和自由的高风险很可能不再存在,则也不需要通知数据主体。
如果 GDPR 第 34 条第 1 款含义内的通知会涉及不成比例的努力。在此情况下,应采取公开公告或类似措施,以同等有效的方式向有关人员提供信息。