GDPR个人数据泄露通知指南

来源:数据治理苑

文章摘要
目录 一、序言 二、简介 I. GDPR个人数据泄露通知义务 II. 第33条—告知监管机构 III. 第34条--与数据主体的沟通 IV. 评估风险和高风险 V. 问责制和记录保存 VI.
目录
一、序言
二、简介
I. GDPR个人数据泄露通知义务
II. 第33条—告知监管机构
III. 第34条--与数据主体的沟通
IV. 评估风险和高风险
V. 问责制和记录保存
VI. 其他法律文书规定的通知义务
VII. 附件
序言
2017年10月3日,第29工作组(以下简称 "WP29")通过了《2016/679号条例下的个人数据泄露通知指南》(WP250 rev.01),该指南得到了欧洲数据保护委员会(以下简称 "EDPB")第一次全体会议的认可。本文件系该指南的更新版本。
简介
BRIEF INTRODUCTION
GDPR规定,个人数据泄露(以下简称 "泄露")必须通知数据监督机构(如果涉及跨境数据泄露,则应通知牵头机构),并在符合特定情况下,也应将泄露事件通知给个人数据受到泄露影响的个人数据主体。虽然欧盟数据保护机构鼓励数据控制者报告违规事件,但GDPR所取代的1995年个人数据保护指令95/46/EC7并不包含具体的违规通知义务,因此这种要求对许多组织来说是新的。目前的指南解释了GDPR强制性数据泄露通知和沟通要求,以及数据控制者和处理者为履行这些义务可以采取的步骤和措施,还举例说明了各种具体类型的违规行为应当如何进行通知。
Part.1 GDPR个人数据泄露通知义务
GDPR规定,通过采取适当的技术和组织措施,个人数据的处理方式应确保个人数据的安全,包括防止未经授权或非法处理,以及防止意外损失、破坏或损坏。因此,GDPR要求数据控制者和处理者都要采取适当的技术和组织措施,以确保其安全水平与正在处理的个人数据所面临的风险相适应。任何数据安全政策的一个关键因素是,在可能的情况下,能够防止违规行为的发生,并在违规行为发生时 及时作出反应。
1.个人数据泄露定义
控制者首先应该能够认识到泄露问题。GDPR在第4(12) 条中将 "个人数据泄露定义为:“违反安全规定,导致意外或非法破坏、损失、改变、未经授权披露或访问传输、储存或以其他方式处理的个人数据。”
2.个人数据泄露的类型
WP29在其关于泄露通知的第03/2014号意见中解释说,可以根据以下三个著名的信息安全原则对违规行为进行分类。
“泄密”——个人数据未经授权或意外地被披露或查阅。
“完整性破坏”——个人数据出现未经授权或意外的更改。
“可用性违反"——在意外或未经授权的情况下丧失访问权或遭到破坏。
还应注意的是,根据情况,违规行为可能同时涉及个人数据的保密性、完整性和可用性以及这些方面的任意组合。
根据个人数据泄露情况,数据控制者需要评估由于缺乏个人数据而对自然人的权利和自由造成的影响的可能性和严重性。根据GDPR第33条,数据控制者需要通知,除非该违规行为不太可能导致对个人信息主体、权利和自由的风险。当然,这需要在个案的基础上进行评估。
示例:
就医院而言,如果关于病人关键医疗数据不可用,即使是暂时的,也会对个人信息主体的权利和自由构成风险,例如手术可能被取消,生命安全受到威胁。相反,如果一家媒体公司的系统无法使用几个小时(如由于停电),即使该公司随后无法向其用户发送新闻简报,也不太可能对个人信息主体的权利和自由构成风险。
3.个人数据泄露的可能后果
违规行为可能会对个人信息主体产生一系列重大不利影响,可能会导致身体、物质或非物质损害。GDPR解释说,上述后果可能包括失去对其个人数据的控制、限制其权利、歧视、身份盗窃或欺诈、财务损失、未经授权的假名化逆转、名誉损害以及个人数据的保密性的丧失等。
Part.2 告知监管机构
A. 何时告知
GDPR第33(1)条规定,在发生个人数据泄露的情况下,数据控制者应在无不当拖延的情况下,在意识到这一情况后的72小时内,将个人数据泄露告知数据监督机构,除非个人数据泄露不可能导致对自然人的权利和自由的风险。如果没有在72小时内告知监督机构,则应附上延迟的理由。
这里需要注意的是,数据控制者何时被认定为已经“知道”违规事件的发生。EDPB认为,当数据控制者合理地认为发生了安全事件,导致个人数据被泄露时,数据控制者应被视为已经"知道"。控制者究竟何时可被视为"意识到"某一特定违规行为,将取决于具体违规行为的情况。然而,重点应该是迅速采取行动、调查事件,以确定个人数据是否确实遭到泄露,如果是,则应采取补救措施并在必要时进行通知。
示例:
第三方通知控制者,他们意外地收到了其客户的个人数据,并提供了未经授权的披露证据。此时,数据控制者已经得到了明确的证据,表明存在数据泄露情况,那么毫无疑问,表明其已经"知道"了。
B.向监管机构提供信息
当控制者向监管机构告知违规事件时,GDPR第33条第3款规定,至少应该包括:( a) 描述个人数据泄露的性质,包括在可能的情况下,有关数据主体的类别和数量以及有关个人数据记录的类别和数量。(b)告知数据保护官的姓名和联系方式,或其他可以获得更多信息的联络方式。(c)描述个人数据泄露可能造成的后果。(d) 描述控制者已经或建议采取的处理个人数据泄露的措施,包括在适当的情况下,减轻其可能的不利影响的措施。
根据违规事件性质,控制者可能需要进一步调查,以确定与事件有关的所有相关事实。因此,GDPR第33(4)条规定:在不可能同时提供信息的情况下,可以分阶段提供信息,而不作不适当的进一步拖延。
也就是说,控制者并不总是在知道违规事件后的72小时内拥有所有必要的信息,因为在这一初始阶段,可能并不总是能获得事件的完整、全面的细节。因此,GDPR允许分阶段进行通知。对于复杂的违规事件,如某些类型的网络安全事件,可能需要进行深入的调查取证,以充分确定违规事件的性质和个人数据被泄露的程度。只要控制者根据GDPR第33(1)条给出延迟的理由。EDPB建议,当控制者首次通知监管机构时,如果其还没有掌握所有需要的信息,并将在以后提供更多细节,控制者也应告知监管机构。这并不妨碍控制者在后续其他阶段提供进一步的信息,如果其意识到需要向监管机构提供有关违规事件的其他相关细节。通知要求的重点是鼓励控制者对违规行为迅速采取行动,控制违规行为,并在可能的情况下恢复被泄露的个人数据,并向监督机构寻求再监督的建议。在最初的72小时内通知监管机构,可以让控制者确保关于通知或不通知个人信息主体的决定是正确的。
在某些情况下,由于违规行为的性质和风险的严重性,控制者应当毫不拖延地通知受影响的个人信息主体。例如,如果存在身份盗窃的直接威胁,或者如果特殊类别的个人数据在网上被披露,控制者应立即采取行动,遏制违规行为,并及时告知个人信息主体。
C.跨境违规行为和非欧盟机构的违规行为
1.跨境违规行为
如果存在个人数据的跨境处理,泄露行为可能会影响到一个以上成员国的数据主体。GDPR第33(1)条明确规定,当泄露事件发生时,控制者应根据GDPR通知牵头的数据监督机构。GDPR第55(1)条规定,每个监督机构都有权履行条例分配给它的任务和行使赋予它的权力。
2.非欧盟机构的违规行为
GDPR第3(2)条规定,本条例适用于不在欧盟设立的控制者或处理者对身处欧盟的数据主体的个人数据的处理,其处理活动与以下方面有关:(a) 向联盟内的此类数据主体提供商品或服务,无论是否需要数据主体付款;或 (b) 监督他们的行为,只要他们的行为是在联盟内发生的。
D. 不需要通知的条件
GDPR第33(1)条明确规定,“不太可能对自然人的权利和自由造成风险”的违规行为不需要通知监管机构。例如,个人数据已经公开,披露这些数据不会对个人信息主体构成可能的风险。
示例:
控制者及其工作人员使用安全加密的移动设备的丢失,只要加密密钥仍由控制者安全持有,并且这不是个人数据的唯一副本, 那么攻击者就无法获取个人数据 。这意味着该漏洞不太可能导致对有关数据主体的权利和自由的风险。如果后续发现加密密钥被泄露、加密软件或算法存在漏洞,存在对自然人的权利和自由的风险,此时可能需要通知。
Part.3 与数据主体的沟通
A. 通知个人信息主体
在某些情况下,除了告知监管机构外,控制者还需要将违约事件通知受影响的个人信息主体。GDPR第34(1)条指出,当个人数据泄露可能导致对自然人的权利和自由的高风险时,控制者应将个人数据泄露告知数据主体,不得无故拖延。由此可见,并非所有的违规事件都需要通知个人信息主体通报,向个人信息主体通报违规事件的条件比告知监管机构更为严格。向个人信息主体通知的主要目的是向他们提供自我保护措施的具体信息,及时沟通将有助于个人信息主体免受违规行为的的负面影响或者将这种影响降至最低。
B. 需要提供的信息
在通知个人信息主体时,GDPR第34(2)条规定,本条第1款提及的与数据主体的沟通应以清晰明了的语言描述个人数据泄露的性质,并至少包含第33(3)条(b)、(c)和(d)点所提及的信息和措施。根据这一规定,控制者至少应提供以下信息:(1)对泄露事件的描述;(2)数据保护负责人或其他联络人的姓名和详细联系方式;(3)描述违反规定的可能后果;(4)对控制者已经采取或建议采取的处理泄露行为的措施的描述,包括在适当情况下,减轻其可能的不利影响的措施。
C. 联系个人信息主体
原则上,应直接向受影响的数据主体通报相关违规事件。
D. 不需要通知的情形
GDPR第34(3)条规定,在发生违规事件时不需要通知个人信息主体的法定情形:(1)控制者在违规事件发生前已经采取了适当的技术和组织措施来保护个人数据,如采用最先进的加密技术保护个人数据。(2)在违规事件发生后,控制者立即采取措施,确保对个人信息主体、权利和自由构成的高风险不再可能发生;(3)如果要与个人信息主体联系,可能需要付出不相称的努力,也许他们的联系方式已经因为信息泄露而丢失,或者一开始就不知道。
Part.4 评估风险和高风险
A.风险作为通知的触发因素
尽管GDPR引入了通知违规事件的义务,但并不是在所有情况下都必须这样做。除非违约行为不太可能导致对个人信息主体权利和自由的风险,否则必须向主管监督机构进行通报。只有在可能导致个人信息主体权利和自由面临高风险的情况下,才会触发向个人信息主体通报违规事件行为。
这种高风险存在于数据泄露可能导致数据被泄露的个人信息主体遭受身体、物质或非物质损害的情况。如,歧视、身份盗窃或欺诈、财务损失和声誉损害。当违规行为涉及揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员资格的个人数据,或包括遗传数据、有关健康或性生活的数据,或刑事定罪和犯罪或相关的安全措施时,这种损害应被视为可能发生。
B. 评估风险时要考虑的因素
GDPR的第75和76条建议,一般来说,在评估风险时,应考虑对数据主体的权利和自由的风险的可能性和严重程度。它进一步指出,应在客观评估的基础上对风险进行评价。
在评估违规行为对个人信息主体造成的风险时,控制者应考虑违规行为的具体情况,包括潜在影响的严重程度和发生的可能性。因此,EDPB建议评估应考虑到以下标准:(1)所发生的违规行为的类型;(2)个人数据的性质、敏感性和数量;(3)是否便于识别个人信息主体;(4)对个人信息主体造成后果的严重性;(5)个人信息主体的特殊性,如有关儿童或其他弱势个人信息主体的数据;(6)数据控制者的特殊性;(7)受影响的人的数量。
因此,在评估违规行为可能导致的风险时,数据控制者应综合考虑对个人信息主体权利和自由潜在影响的严重程度以及发生这些影响的可能性。
Part.5 问责制和记录保存
无论是否需要将违规事件通知监管机构,控制者必须保留所有违规事件的文件,正如GDPR第33(5)条所解释的,“控制者应记录任何个人数据泄露事件,包括与个人数据泄露有关的事实、影响和所采取的补救措施。该文件应使监督机构能够核实对本条的遵守情况”。控制者或处理者可以根据GDPR第37条的要求,或作为一种良好的做法自愿设立数据保护官(DPO)。
Part.6 其他法律文书规定的通知义务
除了GDPR规定的违约通知和沟通之外,控制者还应了解根据其他相关立法通知安全事件的要求,包括:关于内部市场电子交易的电子识别和信任服务910/2014号条例(eIDAS条例);关于欧盟网络和信息系统高度共同安全措施第2016/1148号指令(NIS指令);第2009/136/EC号指令(公民、权利指令)和第611/2013号条例(违规通知条例)等。
Part.7 附件

结语
欧盟是个人信息保护先行者,于 2018年5月实施的《通用数据保护条例》(GDPR)确立了个人信息权利加强保护模式。GDPR对个人数据泄露通知作出了具体规定,不仅明确了关于个人数据泄露的定义、类型以及可能后果,强调在发生个人数据泄漏的情况下向应当及时告知监管机构并通知个人信息主体,还通过对个人数据泄露的风险等级进行评估来判定是否需要向个人信息主体发出通知,从而排除风险等级不高而无需进行通知的情形。
技术驱动法律,专业成就未来