对于许多组织来说,制定合规违规通知程序是一项法律要求,以确保在发生严重个人数据泄露的情况下,按照法律准则执行正确的行动。对数据泄露的延迟或无效反应的后果可能是可怕的,正如在Equifax丑闻其中1.43亿美国公民最敏感的数据被曝光,以及最近的一些问题剑桥—使用第三方应用程序收集用户数据。相关公司草率而迟缓的反应导致了法律诉讼、在立法者面前作证、大量辞职和关闭企业,更不用说对声誉和客户信任造成的不可挽回的损害。
数据泄露通知和GDPR
GDPR的更新明确提到了“个人数据泄露”,以及对监管机构和受影响数据主体的通知要求。那么,如何定义个人数据呢?根据GDPR,尽管这与现有的立法定义非常相似,但个人数据可以定义为“与已识别或可识别自然人(“数据主体”)有关的任何信息”。这意味着根据GDPR,“个人数据泄露”是指“违反安全导致意外或非法破坏、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据”。
避免惩罚
GDPR明确规定,如果发生个人数据泄露,数据控制者必须通知相关监管机构。如果控制者已经确定个人数据泄露“可能会对个人的权利和自由造成高风险”,它还必须“不得无故拖延”地将有关个人数据泄露的信息传达给受影响的数据主体。截至2018年5月25日,数据泄露将导致比以前更高的处罚占全球年营业额的4%,即2000万欧元,以较大者为准,因此,确保您的组织有适当的措施,以确保及时通知监管机构和数据主体是至关重要的。
决策模型和工作流自动化
等到你的组织必须对个人数据或安全漏洞做出反应时,你才知道处理它的流程应该是什么,这绝对是太迟了。事实上,这可能会让本来就不好的情况变得更糟。这就是为什么必须对违规响应过程建模的原因。
首先,重要的是定义和记录所经历的安全漏洞是否实际上是数据泄露。在决策模型中,促使员工考虑个人数据是否已被泄露,以及是否可以合理地排除或假设个人数据已被非法处理,将确保没有怀疑的余地,并就如何进行提供指导。决策模型还将有助于理清更抽象的合规相关风险查询,提供规则来回答诸如“如果员工将笔记本电脑落在火车上,我是否必须通知我所在国家的数据保护局?”之类的问题。
此外,自动化的工作流程将帮助您决定是否必须通知数据保护局(DPA),以及是否必须额外通知数据主体;也就是说你的客户的数据被泄露了。确保整个过程是自动化的,消除了不合规行为的余量,并确保认真对待审计要求,包括记录应该报告什么事件,何时报告,谁处理它们,以及如何处理。
72小时的最后期限意味着通知的责任可能经常需要授权,特别是在大型组织中。在某些情况下,公司董事会可能必须批准这一授权,因为一旦发生违规行为,数据保护官可能没有时间向董事会汇报。这意味着您不仅消除了不合规行为的余量,而且还加快了通知决策过程,以降低未能在72小时最后期限前完成的风险。这一点至关重要,因为如果你没有在发现数据泄露后72小时内通知数据保护局,你可能会面临至少1000万欧元的罚款。
下一个步骤
GDPR的变化肯定会引起很多波澜,但将其实施到您组织的现有结构中并不需要复杂。如果您想了解更多关于建立在组织中采用违规通知程序的路线图的信息,或者关于如何建模所需的决策规则和业务流程的信息,为什么不呢让我们的专家告诉你怎么做?或者,如果你已经准备好自己解决这个问题,可以报名参加30天免费试用和Signavio一起。
