第 55 條 GDPR. 權限
1. 各監管機關應有權於自己之會員國領域內依本規則執行指定之職 務並行使權力。
2. 於公務機關或私人機構依第 6 條 1 項第 c 或 e 點執行處理時,有關 之會員國監管機關應有權限。於該等情形,不適用第 56 條規定。
3. 監管機關不應有權監督法院就其司法權所為之處理執行。
(75) 當事人之權利及自由所受之諸多可能且嚴重之風險,可能起因 自處理個人資料,並造成身體上、物質上、或非物質上之損害,尤其 是於下述情形時:當處理可能造成歧視、身分盜用或詐欺、金融損失、 名譽損害、受職業性秘密保護之個人資料之機密性喪失、假名化未授 權撤銷、或其他任何顯著之經濟性或社會性之不利益時;當資料主體 之權利或自由可能受到剝奪或被排除在自己之個人資料控制權之外 時;當個人資料處理涉及揭露種族或人種、政治意見、宗教或哲學信 仰、貿易聯盟會員、以及基因資料之處理、有關健康之資料或有關性 生活或前科及犯罪或相關保安措施之資料時;當個人特徵受到評估, 尤其是為了建檔或使用個人檔案,分析或預測有關工作表現、經濟狀 況、健康、個人偏好或興趣、可信度或行為、地點或動向等個人特徵 時;當處理易受傷害之個人(尤其是兒童)之個人資料時;或當該處 理會牽涉大量個人資料並影響大量資料主體時。
(85) 若未受到適當且及時之處理,個人資料之侵害可能造成當事人 之身體上、物質上或非物質上損害,例如喪失對其個人資料之控制或 對其權利之限制、歧視、身分盜用或詐欺、金融損失、假名化未授權 撤銷、名譽損害、受職業性秘密保護之個人資料之機密性喪失、或其 他任何對於所涉當事人之顯著經濟性或社會性之不利益。因此,一旦 控管者發現個人資料侵害已然發生,即應向監管機關通報,不得無故 遲延,且若可能,應於發現後 72 小時內通報,但控管者得證明依照 歸責原則該個人資料之侵害不可能造成當事人之權利與自由的風險 者,不在此限。當該通知無法於 72 小時內到達時,遲延之原因應與 通知一併提供,且不得有更進一步無故遲延。
(EN)
Article 29 Working Party, Opinion 03/2014 on “Personal Data Breach Notification (2014).
Article 29 Working Party, Guidelines on Personal Data Breach Notification Under Regulation 2016/679 (2018).
EDPB, Guidelines 1/2021 on Examples regarding Data Breach Notification (2021).
DPC (Ireland), Guidance for Individuals who Accidentally Receive Personal data (2020).
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.
Here is the relevant paragraph to article 33 GDPR:
6.13.1.1 Responsibilities and procedures
Implementation guidance
As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.
(EN) […]
(EN) Sign in
to read the full text