通用数据保护法规(GDPR)是一部影响甚广的法规,规定公司如何处理欧盟内公民的个人数据。GDPR第33条和第34条概述了在发生数据泄露事件时通知监管机构和受影响数据主体的要求。
虽然在法律中定义了企业在发生数据泄露时需要报告的内容的详细信息,但何时报告数据泄露以及应报告事件的权限并不明确。 您知道企业何时应该报告数据泄露事件,您需要报告什么以及在何处报告以保持符合GDPR标准吗?
何时报告GDPR下的数据泄露事件
根据GDPR立法,如果发生“导致意外或非法破坏,丢失,篡改,未经授权的事件”,企业必须向数据保护机构(DPA)(也称为监管机构(SA))报告数据泄露事件。披露或获取个人数据“导致对人民权利和自由的潜在风险。欧洲数据保护主管(EUDPS)建议指出,虽然并非每个信息安全事件都是个人数据泄露事件,但每次个人数据泄露都是一次信息安全事件。
如果数据泄露可能导致“失去对其个人数据的控制或权利限制,歧视,身份盗窃或欺诈,财务损失,未经授权撤销假名,损害声誉,受专业保密或个人保密的个人数据的机密性对于有关自然人而言,其他重大经济或社会不利因素,“如GDPR第85号会议所列,企业必须报告此事件。
EDPS列出的可能包括的事件包括:
-已丢失或被盗的客户数据库(包括丢失在可移动存储设备(如USB记忆棒)上)
-一组个人数据的唯一副本已由勒索软件加密,或者由控制器使用不再拥有的密钥加密
-数据被意外删除或被未经授权的人删除
-如果访问该数据至关重要(例如,在医院中),则分布式拒绝服务(DDoS)攻击会导致个人数据暂时不可用。
未能将数据泄露事件通知数据保护机构可能导致1000万欧元(1130万美元)的罚款或公司全球营业额的2%。
公司不需要通知EDPS列出的DPA的例子是“在控制器的呼叫中心短暂停电几分钟,这意味着客户无法呼叫控制器并访问他们的记录。”如果是公司决定数据泄露不属于通知DPA的范围,仍然需要通知其数据保护官员(DPO)并正式记录事件。
英国ICO提供自我评估服务,以衡量公司是否需要报告事件。
在哪里报告GDPR下的数据泄露
一旦企业决定需要报告事件,它应该联系相关的DPA。企业应报告的DPA取决于:如果公司仅在一个国家/地区运营或所有数据收集,围绕该数据的处理和决策是在本地完成的,那么本地DPA是您需要的唯一一个通知。
如果数据跨越国界,则应通知对该数据具有决策权的国家/地区的DPA(称为主要监管机构或LSA)。例如,如果某个企业的欧洲总部位于伦敦,但事故发生在德国处理数据,则应将此事件报告给英国ICO,因为这是围绕数据做出决策的地方。但是,如果关于数据的决策分配在不同地点 - 比如伦敦的员工数据和法国的客户数据 - 则英国ICO将成为员工数据事件的LSA,法国CNIL将成为涉及员工的LSA信息。
如果一家公司在欧盟内没有正式的存在但仍然遭受涉及欧盟公民数据的事件,那么根据欧盟的建议,它必须“与他们活跃的每个成员国的当地监管机构打交道。”国际协会隐私专业人士(IAPP)提供所有欧盟DPA的清单,并包括相关表格的链接或每个的联系方式。
遭遇事故的企业必须在发现数据泄露后的72小时内通知DPA。在措辞中有“可行的地方”的警告,但公司将被要求为延迟提供推理。如果组织无法立即提供所有必需的详细信息,他们可以分阶段通知DPA,并在知情时向当局提供更多详细信息。
根据GDPR报告什么
报告事件的企业需要回答有关数据泄露的一系列问题,包括:
-当数据泄露发生时
-何时以及如何被发现
-数据泄露中包含的个人数据类别
-数据记录的大小和受影响的人数
-由于数据泄露可能对数据主体造成影响
-对企业向用户提供服务的能力的影响
-恢复时间
-是否已通知受影响的公民
-公司正在采取或将采取的措施来修复和防止此类事件的发生。
大多数DPA在其网站上都有数据泄露通知表单,这些表单提供了有关如何报告事件的模板。
公司还必须告知受数据泄露影响的人。如果存在影响个人权利和自由的“高风险”,EDPS注意到企业必须“毫不拖延地通知这些个人。”在通知受事件影响的人时,企业必须“描述个人数据的性质”数据泄露以及有关自然人减轻潜在不利影响的建议,“根据EDPS。
根据您的行业,根据GDPR报告事件可能意味着您需要根据其他数据保护法规(如HIPAA,PIPEDA或eIDAS)报告此事件。美国国家立法机构会议(NCSL)提供了各州数据泄露立法清单。
通知数据泄露具有挑战性
Redscan的“信息自由法案”要求发现,在GDPR之前,公司平均花了21天的时间向英国ICO报告,其中一家公司需要142天。 93%的受访者没有说明数据泄露的影响,也没有说明报告时的影响。
EDPS在2019年2月发布的一份报告显示,自GDPR于2018年5月生效以来,它共收到了64,600次报告。2017年6月至10月期间,平均有250次自我报告的数据泄露事件被提交给ICO。向CSO显示的数字。 GDPR生效后2018年的相应月份平均每月1,400个月。
然而,似乎GDPR的数据泄露仍然令公司望而生畏。针对数据泄露解决方案的Experian和Ponemon报告发现,超过一半的企业认为他们的数据泄露响应计划的有效性“非常高”,但不到30%的受访公司表示他们很有能力遵守GDPR的规定。数据泄露通知规则。
“最简单的事情之一是在72小时内通知DPA,”Experian数据泄露解决方案小组副总裁Michael Bruemmer说。 “我认为[对符合GDPR标准的通知缺乏信心]比缺乏理解更缺乏意识。它并没有说你必须完成所有的取证。它并没有说你必须在那个时候通知消费者。它并没有说你必须控制一切。这只是意味着你需要确保你宣布'我们认为我们有数据泄露;我们正处于这个阶段;我们这次想的就是结束它;如果确定是数据泄露,我们会通知。'“
面对不确定性,许多公司正在采取“报告一切”的方法来遵守通知要求。在2018年9月举行的CBI网络安全:商业洞察会议上,英国副信息专员James Dipple-Johnstone强调了ICO如何面对公司“过度报告”的问题:“我们每周接到约500个电话自5月25日以来我们的数据泄露报告热线,“他说,”其中大约三分之一来自企业,他们在与我们的官员讨论后,决定他们发现的事件不符合我们的报告门槛。“
72小时准备期
无论是根据GDPR还是任何其他法规,确保遵守数据泄露通知要求的最佳方法是提前计划。 了解您需要向谁报告的内容,将这些要求纳入您拥有的任何事件响应计划中,并定期对其进行测试。
“只有制定计划并检查方框并不够好,”Experian的Bruemmer说。 “你需要了解你拥有的数据,它是如何受到保护的。 您需要制定计划并实施该计划,排练,每季度更新一次,并进行桌面练习并尽可能使其成为现实。这与你把它放在与火花钻相同的类别中没有什么不同。 业务连续性和灾难恢复人员都明白这一点,但这并不一定能够直接进入网络安全,规划和应对数据泄露。”
https://www.csoonline.com/article/3383244/how-to-report-a-data-breach-under-gdpr.html
声明:本文来自CyberRisk赛伯瑞斯克,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。