第 55 條 GDPR. 權限
1. 各監管機關應有權於自己之會員國領域內依本規則執行指定之職 務並行使權力。
2. 於公務機關或私人機構依第 6 條 1 項第 c 或 e 點執行處理時,有關 之會員國監管機關應有權限。於該等情形,不適用第 56 條規定。
3. 監管機關不應有權監督法院就其司法權所為之處理執行。
(75) 當事人之權利及自由所受之諸多可能且嚴重之風險,可能起因 自處理個人資料,並造成身體上、物質上、或非物質上之損害,尤其 是於下述情形時:當處理可能造成歧視、身分盜用或詐欺、金融損失、 名譽損害、受職業性秘密保護之個人資料之機密性喪失、假名化未授 權撤銷、或其他任何顯著之經濟性或社會性之不利益時;當資料主體 之權利或自由可能受到剝奪或被排除在自己之個人資料控制權之外 時;當個人資料處理涉及揭露種族或人種、政治意見、宗教或哲學信 仰、貿易聯盟會員、以及基因資料之處理、有關健康之資料或有關性 生活或前科及犯罪或相關保安措施之資料時;當個人特徵受到評估, 尤其是為了建檔或使用個人檔案,分析或預測有關工作表現、經濟狀 況、健康、個人偏好或興趣、可信度或行為、地點或動向等個人特徵 時;當處理易受傷害之個人(尤其是兒童)之個人資料時;或當該處 理會牽涉大量個人資料並影響大量資料主體時。
(85) 若未受到適當且及時之處理,個人資料之侵害可能造成當事人 之身體上、物質上或非物質上損害,例如喪失對其個人資料之控制或 對其權利之限制、歧視、身分盜用或詐欺、金融損失、假名化未授權 撤銷、名譽損害、受職業性秘密保護之個人資料之機密性喪失、或其 他任何對於所涉當事人之顯著經濟性或社會性之不利益。因此,一旦 控管者發現個人資料侵害已然發生,即應向監管機關通報,不得無故 遲延,且若可能,應於發現後 72 小時內通報,但控管者得證明依照 歸責原則該個人資料之侵害不可能造成當事人之權利與自由的風險 者,不在此限。當該通知無法於 72 小時內到達時,遲延之原因應與 通知一併提供,且不得有更進一步無故遲延。
(EN)
Article 29 Working Party, Opinion 03/2014 on «Personal Data Breach Notification (2014).
Article 29 Working Party, Guidelines on Personal Data Breach Notification Under Regulation 2016/679 (2018).
EDPB, Guidelines 1/2021 on Examples regarding Data Breach Notification (2021).
DPC (Ireland), Guidance for Individuals who Accidentally Receive Personal data (2020).
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 33 GDPR:
6.13.1.1 Обязанности и процедуры
Руководство по внедрению
В рамках общего процесса управления инцидентами информационной безопасности организация должна установить обязанности и процедуры для выявления и регистрации нарушений PII. Кроме того, организация должна установить обязанности и процедуры, связанные с уведомлением требуемых сторон о нарушениях PII (включая время таких уведомлений) и раскрытием властям, принимая во внимание применимое законодательство и / или регулирование.
…
Войти
для доступа к полному тексту