关于GDPR下的个人数据泄露通知的第92022号指南

关于GDPR下个人数据泄露通知的第9/2022号准则 版本2.0 2023年3月28日通过 版本历史 版本1.0 2022年10月10日 通过该指南（由第29工作组通过并于2018年5月25日获得EDPB批准的先前指南WP250（修订版01）的更新版本）以进行有针对性的公众咨询。 版本2.0 2023年3月28日 在就非欧洲经济区设立的控制者的数据泄露通知主题进行有针对性的公众咨询后，通过了该指南。 表的内容 0前言5 介绍5 I.GDPR7下的个人数据泄露通知 A.基本安全考虑7 B.什么是违反个人资料?7 1.定义7 2.类型的个人数据泄露8 3.个人数据泄露的可能后果9 II.第33条-通知监管机构10 A.当通知10 1.第三十三条要求10 2.什么时候一个控制器成为“意识到”?11 3.关节控制器13 4.处理器义务13 B.向监管机构提供信息14 1.信息提供14 2.通知在阶段15 3.延迟通知16 C.跨境违规行为和非欧盟机构的违规行为17 1.跨境违反17 2.在非欧盟机构违反17 D.情况通知不是必需的18岁 III.第三十四条——通信的数据主题20 A.通知20个人 B.信息提供20 C.联系个人21 D.通信的条件不是必需的 IV.评估风险和高风险23 A.23日风险触发通知 B.因素时要考虑风险评估23 V.问责制和记录26 A.记录违反26 B.数据保护官员27日的角色 VI.二、其他法律文书规定的通知义务28 VII.附件30 A.流程图显示通知要求30 B.个人数据泄露示例以及通知谁31 欧洲数据保护板 考虑到欧洲议会和理事会2016年4月27日关于在个人数据处理和此类数据自由流动方面保护自然人的条例 2016/679/EU第70（1）（e）和（l）条，并废除指令95/46/EC（以下简称“GDPR”）， 考虑到经欧洲经济区联合委员会2018年7月6日第154/2018号决定修正的《欧洲经济区协定》，特别是附件十一及其第37号议定书， 考虑到其议事规则第12条和第22条， 考虑到第2016/679号条例WP250rev.01下关于个人数据泄露通知的第29条工作组指南， 采用了以下指导方针 0前言 1.2017年10月3日，第29工作组（以下简称“WP29”）通过了第2016/679号条例（WP250rev.01）2下的个人数据泄露通知指南，该指南得到了欧洲数据保护委员会（以下简称“EDPB”）第一次全体会议的批准3。本文档是这些准则的略微更新版本。从现在开始，根据第2016/679号条例（WP250rev.01）对WP29个人数据泄露通知指南的任何引用都应被解释为对本EDPB准则9/2022的引用。 2.EDPB注意到有必要澄清有关非欧盟机构个人数据泄露的通知要求。关于这一事项的段落已经修订和更新，而文件的其余部分保持不变，但编辑上作了修改。修订更具体地涉及本文件第二.C.2节第73段。 介绍 3.GDPR引入了个人数据泄露（以下简称“泄露”）通知国家主管监管机构4（或在跨境泄露的情况下通知牵头机构）的要求，并在某些情况下将泄露信息传达给个人数据受到泄露影响的个人。 4.某些组织存在违规情况下的通知义务，例如公开可用的电子通信服务提供商（如指令2009/136/EC和法规（ EU）No611/2013中规定）5。还有一些成员国已经拥有自己的 1本文件通篇提及的“成员国”应理解为提及“欧洲经济区成员国”。 2WP29关于第2016/679号条例（WP250rev.01）下的个人数据泄露通知指南（最新修订和更新于2018年2月6日），可在https://ec.europa.eu/newsroom/article29/items/612052查阅。3见https://edpb.europa.eu/news/news/2018/endorsement-gdpr-wp29-guidelines-edpb_en。 4看到第四条GDPR(21)。 5见http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:32009L0136和http://eur-lex.europa.eu/legalcontent/EN/TXT/?uri=CELEX%3A32013R0611 国家违约通知义务。这可能包括有义务通知除公开可用的电子通信服务提供商之外涉及各类控制者的违规行为（例如在德国和意大利），或报告涉及个人数据的所有违规行为的义务（例如在荷兰）。其他成员国可能有相关的业务守则（例如，爱尔兰6）。虽然许多欧盟数据保护机构鼓励控制者报告违规行为，但GDPR取代的数据保护指令95/46/EC7不包含特定的违规通知义务，因此这样的要求对许多组织来说是新的。GDPR规定所有控制者都必须发出通知，除非违规行为不太可能对个人的权利和自由造成风险8。处理者也发挥着重要作用，他们必须向其控制者报告任何违规行为9。 5.EDPB认为通知要求有许多好处。在通知监管机构时，控制者可以获得有关是否需要通知受影响个人的建议。事实上，监管机构可以命令控制者将违规行为告知这些个人10。将违规行为传达给个人允许控制者提供有关违规行为带来的风险的信息，以及这些个人可以采取的保护措施，以保护自己免受其潜在后果的影响。任何违规响应计划的重点都应放在保护个人及其个人数据上。因此，违规通知应被视为一种增强个人数据保护合规性的工具。同时，应该注意的是，未能向个人或监管机构报告违规行为可能意味着根据GDPR第83条，可能的制裁适用于控制者。 6.因此，鼓励控制者和处理者提前计划并制定流程，以便能够检测并及时控制违规行为，评估对个人的风险11 ，然后确定是否有必要通知主管监督机构，并在必要时将违规行为传达给相关个人。向监管机构发出通知应构成该事件响应计划的一部分。 7.GDPR包含有关何时需要通知违规行为、通知对象以及应作为通知的一部分提供哪些信息的规定。通知所需的信息可以分阶段提供，但在任何情况下，控制者都应及时对任何违规行为采取行动。 8.WP29在其关于个人数据泄露通知的第03/2014号意见12中为控制者提供了指导，以帮助他们决定是否在发生泄露时通知数据主体。该意见考虑了电子通信提供商对指令2002/58/EC的义务，并在当时的GDPR草案的背景下提供了多个部门的例子，并提出了所有控制者的良好做法。 9.现行指南解释了GDPR的强制性违规通知和通信要求，以及控制者和处理者为履行这些义务可以采取的一些步骤。他们 6见https://www.dataprotection.ie/docs/Data_Security_Breach_Code_of_Practice/1082.htm7见http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:31995L0046 8《欧盟基本权利宪章》中规定的权利，可在http://eurlex.europa.eu/legal-content/EN/TXT/？uri=CELEX：12012P/TXT 9参见GDPR第33条第2款。这在概念上类似于法规（EU）No611/2013第5条，该条规定，签约提供部分电子通信服务的提供商（与订户没有直接合同关系）有义务在发生个人数据泄露时通知签约提供商。 10看文章34(4)和58(2)(e)GDPR。 11这可以在DPIA的监测和审查要求下得到确保，这是处理可能对自然人的权利和自由造成高风险的操作所必需的（第35（1）和（11）条）。12见WP29关于个人数据泄露通知的第03/2014号意见http://ec.europa.eu/justice/data-保护/第29条/文档/意见建议/文件/2014/wp213_en.pdf 还举例说明了各种类型的违规行为，以及在不同情况下需要通知谁。 I.个人数据违反通知GDPR下 A.基本的安全注意事项 10.GDPR的要求之一是，通过使用适当的技术和组织措施，个人数据的处理方式应确保个人数据的适当安全性，包括防止未经授权或非法处理以及意外丢失、破坏或损坏13。 11.因此，GDPR要求控制者和处理者采取适当的技术和组织措施，以确保与正在处理的个人数据构成的风险相适应的安全级别。它们应考虑到现有技术、实施成本和处理的性质、范围、背景和目的，以及自然人的权利和自由不同可能性和严重程度的风险14。此外，GDPR要求采取所有适当的技术保护措施和组织措施，以立即确定是否发生了违规行为，然后确定是否履行了通知义务15. 12.因此，任何数据安全策略的一个关键要素是能够在可能的情况下防止违规行为，并在发生违规行为时及时做出反应。 B.什么是违反个人资料? 1.定义 13.作为解决违规行为的任何尝试的一部分，控制者应该首先能够识别一个漏洞。GDPR第4条第（12）款中的“ 个人数据泄露”定义为： “违反安全规定，导致意外或非法破坏、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据。” 14.个人数据的“销毁”是什么意思应该很清楚：这是数据不再存在的地方，或者不再以对控制者有任何用处的形式存在。“损害”也应该相对明确：这是个人数据被更改、损坏或不再完整的地方。就个人数据的“丢失”而言，这应被解释为数据可能仍然存在，但控制者已失去对它的控制或访问，或者不再拥有它。最后，未经授权或非法的处理可能包括向无权接收（或访问）数据的接收者披露个人数据（或由接收者访问），或任何其他违反GDPR的处理形式。 例子 个人数据丢失的示例可能包括包含控制者客户数据库副本的设备丢失或被盗。丢失的另一个示例可能是一组个人数据的唯一副本已被勒索软件加密，或者已由控制者使用不再拥有的密钥进行加密。 15.应该明确的是，违规是一种安全事件。但是，如第4条第（12）款所述，GDPR仅适用于个人数据泄露的情况。这种违规的后果是控制者将无法确保遵守与 13看文章5(1)(f)和32GDPR。 14第三十二条;参见83GDPR独奏会。 1587GDPR看到独奏会。 GDPR第5条所述的个人数据处理。这凸显了安全事件和个人数据泄露之间的区别——本质上，虽然所有个人数据泄露都是安全事件，但并非所有安全事件都必然是个人数据泄露16。 16.违规行为对个人的潜在不利影响如下所述。 2。类型的个人数据泄露 17.WP29在其关于违规通知的第03/2014号意见中解释说，违规行为可以根据以下三个众所周知的信息安全原则17进行分类： “保密违反“-未经授权或意外披露或访问个人数据的情况。 “完整性破坏“-未经授权或意外更改个人数据的情况。 “可用性侵犯“-意外或未经授权无法访问18或破坏个人数据。 18.还应该注意的是，根据具体情况，违规行为可能同时涉及个人数据的机密性、完整性和可用性，以及这些的任意组合。 19.虽然确定是否存在违反机密性或完整性的情况相对清楚，但是否存在可用性违规可能不太明显。当个人数据永久丢失或破坏时，违规将始终被视为可用性违规。 例子 可用性丢失的示例包括数据被意外删除或被未经授权的人员删除，或者在安全加密数据示例中，解密密钥已丢失。如果控制器无法恢复对数据的访问（例如，从备份中恢复），则这被视为永久性的可用性丧失。 如果组织的正常服务受到严重中断，例如，遇到电源故障或拒绝服务攻击，导致个人数据不可用，也可能发生可用性损失。 20.可能会问，个人数据暂时丧失可用性是否应被视为违规行为，如果是，则需要通知。GDPR第32条“处理的安全性”解释说，在实施技术和组织措施以确保与风险相适应的安全级别时，应考虑“确保处理系统的持续机密性、完整性、可用性和弹性的能力，以及 16应该注意的是，安全事件不仅限于从外部来源对组织进行攻击的威胁模型，还包括违反安全原则的内部处理事件。 17看到WP29意见03/2014。 18众