个人数据泄露的数据主体的通知必须与具体情况相关并遵守透明原则。对向个人数据保护局(DPO)发出的个人数据泄露通知的分析表明,只有部分管理员认真履行了向这些人员通报此类情况的义务,并以透明和可理解的方式这样做。他们准确地描述了发生的事情、违规行为的原因,以及与侵权有关的数据类别。他们充分参与了这一事件、说明了其可能产生的负面后果,以及可以采取什么措施来减少负面后果。
违规报告还表明,一些管理员可以通过实施周到的解决方案(例如验证客户联系方式的正确性的有效程序)来限制未来类似事件的发生。但是,很大一部分管理人员仍然不完全理解《一般数据保护条例》(GDPR)的第33条和第34条中所述义务的目的。因此,不以负责任的方式实施。通常,他们向人们发送的通知是根据标准模板以一般术语编写的,不适用于特定情况和受违规影响的数据类别。给予人民的建议与违法行为的性质不符,因此对他们没有用处。
这些通知也包含冲突的信息。例如,在通知的第一部分中,管理员通知他已经发现违规行为会造成侵犯特定人员权利的高风险,并且在通知的另一部分中表明此事件不会对该人员造成任何负面后果。此类通知不履行其职能,是非法的。
通知的必要元素
如果违反了个人数据保护,则存在侵犯自然人权利或自由的高风险。管理员应根据GDPR第34条第1款的规定,有义务在没有不当拖延的情况下通知其此类侵权行为。通知必须包括:
(1)对侵权性质的描述(例如对侵权情况的说明,以及对数据类别的描述);
(2)DPO的名称和联系方式(如有);(他指定的)或另一个可以获得更多信息的联络点;
(3)个人数据泄露可能后果的描述(例如在非银行机构发生金融负债的可能性);
(4)描述管理员用于补救违反个人数据保护或尽量减少其可能的负面影响的措施(例如,告知在信用信息系统中建立账户以监控信贷活动的可能性信息)。
侵权通知和透明原则
根据第12条第1款,通知应以清晰易懂的语言书写。因此,应使用直接短语,例如:
“我们提供有关您可以采取的与事件有关的步骤的信息。”
“违反对您个人数据的保护可能会导致您的个人数据进入Internet帐户(例如在社交网站、电子邮件上)。”
根据第2016/679号条例(WP250rev.01),《关于报告个人数据泄露的指南》中第29条强调:“数据主体必须了解违规行为的性质,并知道他们必须做什么来保护自己。”
因此,针对某个人的沟通必须清晰、连贯和合乎逻辑,并包含对可能影响的具体情况描述和对自然人的相应建议(例如:如果违约涉及非银行机构承担金融负债风险,则有必要说明在信贷信息系统中设立账户监控信贷活动的可能性。)
为了确保通知的透明度,建议考虑将侵权行为的描述和性质与可能的后果、补救措施,以及DPO或其他可获得更多信息的联络点的联系方式分开。
选择有效形式
鉴于通知的重要性,它应该采用允许数据主体重复读取内容的形式。在选择沟通方式时,应记住必须尽快将通知发送给收件人。
透明通知方法的示例包括:
(1)直接沟通(例如直接电子邮件或短信);
(2)引人注目的横幅;
(3)网站上的通知或印刷媒体上的广告。
管理员应选择一种通知方法,以确保向受此违规行为影响的所有自然人正确传输信息的最佳机会。在某些情况下,这可能意味着管理员应该使用不同的通信方法,而不仅仅是一个信息通道。
直接通知原则的例外情况
管理人应通知其数据被直接侵犯的人员,除非这需要不成比例的努力。在这种情况下,管理者应发布公告或采用类似措施同等有效地通知数据主体(GDPR第34(3)(c)条)。
如果管理人打算依赖个别侵权通知一般原则的例外情况,则应对案件的全部事实进行彻底分析。根据第5条第2款,引用指出的例外情况,管理员必须能够证明出于客观原因而难以或不可能单独通知数据主体。
管理员决定发布公共信息或其他适当措施以有效地通知个人侵权行为,应将直接向数据主体提供信息的努力与对该人的后果和后果进行比较。
为了通知其数据被侵犯的人,管理员应使用不应与其他信息一起发送的专用消息,例如新闻通讯或标准消息。这将有助于以清晰透明的方式传达有关违规的信息。
仅在新闻稿或公司博客上通知自然人侵权行为,属于无效的通知。
文章来源:
https://www.uodo.gov.pl/pl/138/1133
供稿者:李众 编辑:杨慕青
声明:本文来自北邮互联网治理与法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
