WP29根据GDPR发布了关于个人数据泄露通知的新指南GDPR扩大了控制者在处理个人数据时必须遵守的义务范围。其中包括根据风险的可能性和严重性，向监管机构和个人通知个人数据泄露的义务（第33和34条）。WP29本周发布了关于这一新的个人数据泄露通知的建议指南。这些指导方针旨在帮助组织更好地了解何时需要通知，以及他们需要采取什么样的程序来充分检测和处理违规行为。WP29指南的一些主要内容包括：澄清个人数据泄露的类型。WP29明确指出，违规行为可能涉及个人数据的保密性、完整性或可用性，或这些信息的组合，并坚持要求控制者在调查中必须考虑违规行为的所有可能后果。例如，对于第三方来说，经过适当加密的数据丢失将是无法理解的，因此不会构成机密性泄露，但如果组织没有丢失数据的任何备份，则仍可能构成可用性违规。关于控制者何时被视为"意识到"违规行为以及通知时间的指南。WP29承认，控制者可在收到潜在违约通知后的短时间内进行初步调查，以评估是否确实发生了违规行为。但是，它表明，一旦控制者有合理程度的确定发生了安全事故和个人数据被泄露（将根据具体情况进行评估），即认为控制者"意识到"了违规行为（这将启动72小时通知监管机构的时限）。因此，组织应建立健全的内部流程，如详细的事件响应计划或治理安排，以便能够正确地检测和处理违规行为，并确保及时将正确的信息传达给适当的管理层。澄清处理者的角色。有趣的是，指导方针指出，一旦处理者自己意识到了违规行为，控制者就应该被认为是"意识到"的。这很可能是控制者和处理者之间激烈讨论的一个来源，因为尽管控制者有72小时的时间限制来通知违反，但GDPR没有对处理者施加任何严格的时间限制来通知控制者（GDPR声明它必须在意识到后"无不当延迟"地这样做）。虽然WP29建议处理者立即通知控制者（并随后提供附加信息），但控制者应确保在其数据处理协议中适当地涵盖了这一事项。描述评估风险时要考虑的因素。WP29提供了在评估风险的可能性和严重性（因此需要通知监管机构和/或个人）时要考虑的因素列表，其中包括违规类型、性质、敏感性和个人数据量、识别个人的容易程度，个体后果的严重性、个体的特殊性、相关个体的数量以及控制者自身的特殊性。该指南还包含一个附录，详细说明了非详尽的违规案例，旨在帮助组织识别风险以及是否需要通知。关于如何记录违规行为的指南。WP29还强调了记录每一次数据泄露的重要性，作为新的责任义务的一部分，无论是否需要通知（包括，例如，记录控制者决定不需要通知的原因）。各组织应建立内部违规登记簿，并制定书面通知程序，以证明全面遵守GDPR第33条和第34条，包括发现和处理数据泄露。建议的指导方针在2017年11月28日前公开征求意见。OneTrust将在本周晚些时候发布一份白皮书，进一步详细说明这些建议的指导方针的内容，以及它们对组织的实际意义。OneTrust的帮助OneTrust提供数据事件和违规通知管理工具，以帮助组织履行其在通用数据保护条例（GDPR）第33和34条下的义务。这使组织能够维护事件和违规记录，根据通知要求进行评估，并分析与基础数据清单相关的总体风险。分享这篇文章