如何根據 GDPR 報告資料外洩

chandonarai55

我在部落格上多次寫過個人資料保護的重要性以及實施適當的安全措施來確保這種保護。


但有時，即使採取了可靠的措施來保護個人數據，其安全性也會受到破壞。沒有任何安全措施可以完全保護我們免於資料外洩或遺失等問題。


注意 - 如果您寧願聽到報告資料保護違規行 https://zh-tw.bcellphonelist.com/middle-east-mobile-number-list/ 為而不是閱讀，我鼓勵您觀看下面由我的合作夥伴 Ewa Lewańska 準備的影片：





發生 GDPR 事件時我們該如何應對？

首先，我們應該確定到底發生了什麼事。出於本條目的目的，我將使用兩個術語：

個人資料保護事件，
違反個人資料保護規定。

事件是指存在與個人資料保護相關的威脅的情況。大多數情況下，這種事件可能會侵犯我們組織中個人資料的安全性。


事件的一個例子是有人將處理數據的房間的門打開——違反了適用的程序。同樣，如果一張寫有 IT 系統密碼的紙留在桌上，就會發生事故。


GDPR 沒有定義「事件」的概念，但從業者經常在個人資料保護違規的情況下使用它。


事件發生這一事實並不意味著資料的完整性、可用性或機密性受到侵犯——我們應該根據 GDPR 保護這三項內容。



玩具-警察與警犬


什麼情況下事件屬於資料外洩？

當事件導致違反以下規定時，即構成個人資料保護違規：

資料機密性 - 當資料落入未經授權的人員（例如網路犯罪者）手中、在網路上公開或洩漏給我們組織中未經授權存取的成員時，
資料可用性 - 當管理員失去存取資料的能力（暫時或不可逆轉） - 例如由於媒體損壞或故障、IT 系統故障或加密檔案的解密密碼遺失，
資料完整性 - 當資料以不期望的方式（包括意外）被修改時。

GDPR 中個人資料外洩的正式定義為：導致意外或非法破壞、遺失、修改、未經授權揭露或未經授權存取傳輸、儲存或以其他方式處理的個人資料的安全漏洞。

如果發生違規行為，該怎麼做？

如果發生了違規行為，我們必須從資料主體保護的角度驗證其「實質」。這決定了我們是否必須向個人資料保護辦公室主任報告此類違規行為。


並非所有個人資料保護違規行為都必須向監管機構報告。