제33조 GDPR. 감독기관에 대한 개인정보 침해 통지
1. 개인정보의 침해가 발생할 경우, 컨트롤러는 부당한 지체 없이, 가급적 이를 알게 된 후 72시간 내에, 제55조에 따라 감독기관에 해당 개인정보의 침해를 통지해야 한다. 단, 해당 개인정보의 침해가 자연인의 권리와 자유에 위험을 초래할 것으로 예상되지 않는 경우는 예외로 한다. 72시간 내에 감독기관에 이를 통보하지 않을 경우에는 지연 사유를 동봉해야 한다.
[…]
3. 제1항에서 규정한 통지는 최소한 다음 각 호를 포함해야 한다.
[…]
(b) 데이터보호담당관, 그리고 더 많은 정보를 얻을 수 있는 경우, 기타 연락 가능한 개인의 이름 및 상세 연락처 전달
(c) 개인정보 침해로 인해 발생할 수 있는 결과에 대한 설명
(d) 적절한 경우, 개인정보 침해로 인한 부작용을 완화하기 위한 조치 등, 해당 개인정보 침해 해결을 위해 컨트롤러가 취하거나 취하도록 제안되는 조치에 대한 설명
ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.
Here is the relevant paragraph to article 34 GDPR:
6.13.1.1 Responsibilities and procedures
Implementation guidance
As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.
[…]
Sign in
to read the full text