GDPR监管下如何报告数据泄露情况

GDPR监管下的数据泄露通告是强制的，并必须及时，那么，发生数据泄露。报告些什么？像谁报告？（GDPR）是指公司进行企业如何处理公民个人信息数据的一系列相关规定。需要通知调节器和受影响的身体数据的数据发生泄漏，尽管需报告的内容作了一个细致的规定。但什么时候报告和向谁报告却不是那么我们清楚。

何时报告数据泄露？

根据生产总值报告的规定，如果发生意外或非法破坏、丢失、篡改、未经授权披露或获取个人数据的事件，有关公司必须向数据保护机构(DPA：也称为监督机构(SA))报告公民的人权和自由。欧洲的数据保护监管机构（EDPS）的建议指出，虽然并不是每一个人数据泄露的安全事件，但是从每一个人数据泄露是信息安全事件。

正如GDPR第85条列举的，如果一个事件可造成个人信息数据管理失控或权益受限、歧视、身份盗窃或欺骗、经济利益损失、未授权逆匿名、声誉伤害、职业性秘密保护下的个人通过数据机密性丧失。或对涉事自然人造成影响其他没有任何国家重大政治经济或社会环境不利变化情况，公司即应报告该事件。

EDPS列出的需要报告的事件包括：

丢失或被盗的客户数据库（包括损耗U盘被存储在可移除的载体）。

个人信息数据集唯一一个副本遭勒索软件进行加密，或被控制者以不再需要持有的密钥加密。

数据被未经授权的人意外删除或删除。

分布式拒绝服务（DDoS）攻击导致关键的个人数据暂时不可用，如医疗数据。

未能进行及时向数据环境保护管理机构通报数据技术泄露事件可致1千万欧元或公司发展全球年营业额2％的高额罚款。

DPA仅报短暂停电几分钟，你可能不需要在数据控制器的客户支持中心上市EDPS，即便我们可以认为事件无需向DPA通报。也仍需告知其数据环境保护官，并正式记录该事件。

向谁报告数据泄露？

联系相关DPA.. 一旦公司确定有必要报告数据泄漏DPA报告，其取决于公司自身的情况：如果公司是在一个国家运营，或周围的所有数据被泄露的数据采集，处理和决策都在本地完成，并且公司只需要到当地的DPA报道。

如果企业可以跨越国界，围绕该数据进行处理的决策在哪个国家发展做出，就应向哪个国家的DPA报告（称为主管部门监督管理机构LPA）。例如，如果该公司的欧洲总部设在伦敦，但事件在德国负责数据处理，应该报告给英国ICO数据泄露事件，因为英国是围绕地方决策的数据加工制成。但是，如果企业数据管理决策分散多地进行——假设伦敦负责公司员工通过数据，法国负责客户提供数据。那么英国ICO就是提高员工数据泄露事件的LSA，而法国国家经济信息可以自由委员会（CNIL）则是涉客户服务信息安全事件的LSA。

如果该公司在欧盟没有官方机构，但仍有涉及欧盟公民的数据泄漏，该公司必须根据欧盟的建议向参与该业务的每个欧盟成员国的监督机构报告..隐私国际专业协会（IAPP）给所有欧盟DPA的列表，并包含相关的每个机构或联系的链接信息的报告。

遭遇进行数据泄露的公司对于企业需在发现问题事件的72小时之内通报DPA，虽然在措辞“在可能的”这个注解，公司仍然需要提供一个理由来解释延迟。

报告哪些内容？

报告事件的公司对于企业需回答有关信息数据泄露的一系列社会问题：

数据泄露何时发生

何时以及怎样发现的数据泄露

哪类个人数据遭泄露

泄露了多少条记录，影响了多少人

泄露对数据主体有哪些可能影响

公司向用户提供服务的能力受到多大影响

恢复时间

受影响欧盟公民是否收到通知

公司正在采取或将采取哪些措施来减轻和防止此类事件的发生？

大多数数据泄露是在其网站上通知DPA模板。

公司进行企业还应通知受数据信息泄露影响的个人，如果在“高风险”，面对受影响的权利和自由，EDPS规定企业必须“毫不迟延”，通知受影响的个人。通知受影响人员时，公司进行需说明我国个人信息数据泄露的性质，并给出一些相关自然人缓解潜在负面因素影响的建议。

确保符合数据泄露报告要求的的最佳方式，无论你要符合的是GDPR还是其他的什么的规定，要了解像谁报告，将这些融合在规划里，并检测这些计划。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！