2021年1月18日,欧洲数据保护委员会(edpb)发布了关于数据泄露通知(the guidelines)的2021 / 01指南草案。该指南补充了2018年2月第29条工作组通过的《欧盟一般数据保护条例》(gdpr)下关于个人数据泄露通知的初步指南。新的指南草案考虑了监管机构自2018年5月gdpr适用以来在数据泄露方面的常见经验。edpb的目的是协助数据管制人员决定如何处理数据泄露,包括确定他们在进行风险评估时必须考虑的因素,以决定是否必须将数据泄露报告给有关监管机构和/或受影响的数据当事人。
指南草案包括常见的数据泄露场景,包括(1)勒索软件攻击,恶意代码加密个人数据,攻击者随后要求控制器支付赎金以换取解密代码;(2)数据泄露攻击,利用控制器提供的在线服务的漏洞,通常旨在复制、窃取和恶意滥用个人数据;(3)根据edpb,导致数据泄露的人为错误相当常见,可以是有意的也可以是无意的;(四)遗失、被盗的设备和纸质文件;(五)因人为失误而无恶意致错的;(6)社会工程,如身份盗窃和电子邮件泄露。
对于指南中描述的每个案例,epdb确定了相关的报告(即监管机构和/或受影响的数据主体)和补救义务。在指南中,edpb还回顾了组织应考虑的数据泄漏管理和响应的几个关键要素,包括:
a) 主动识别系统漏洞,防止数据泄露的发生;
b)评估违约是否可能对数据当事人的权利和自由造成风险。该评估应在组织意识到漏洞时进行。管制员不应等待详细的法医检查和缓解措施来拖延通知;
c)推行有关如何处理数据泄露的计划、程序和指引(例如以手册的形式),并订定清晰的报告路线和负责恢复程序的人员;
d)组织培训,提高数据泄露管理意识。培训应定期进行,并应根据财务主任的处理和业务活动进行调整。还应更新培训,以处理最新的趋势和警报;
e)记录每一个案例中的漏洞,不管它们带来的风险。
该指南将于2021年3月2日之前公开征求公众意见,反馈意见可以提交。
指南地址:https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202101_databreachnotificationexamples_v1_en.pdf
提交地址:https://edpb.europa.eu/our-work-tools/public-consultations-art-704/reply-form?node=1179https://edpb.europa.eu/our-work-tools/public-consultations-art-704/reply-form?node=1179
来源:https://baijiahao.baidu.com/s?id=1689403090853417012&wfr=spider&for=pc
试用申请