제33조 GDPR. 감독기관에 대한 개인정보 침해 통지
1. 개인정보의 침해가 발생할 경우, 컨트롤러는 부당한 지체 없이, 가급적 이를 알게 된 후 72시간 내에, 제55조에 따라 감독기관에 해당 개인정보의 침해를 통지해야 한다. 단, 해당 개인정보의 침해가 자연인의 권리와 자유에 위험을 초래할 것으로 예상되지 않는 경우는 예외로 한다. 72시간 내에 감독기관에 이를 통보하지 않을 경우에는 지연 사유를 동봉해야 한다.
[…]
3. 제1항에서 규정한 통지는 최소한 다음 각 호를 포함해야 한다.
[…]
(b) 데이터보호담당관, 그리고 더 많은 정보를 얻을 수 있는 경우, 기타 연락 가능한 개인의 이름 및 상세 연락처 전달
(c) 개인정보 침해로 인해 발생할 수 있는 결과에 대한 설명
(d) 적절한 경우, 개인정보 침해로 인한 부작용을 완화하기 위한 조치 등, 해당 개인정보 침해 해결을 위해 컨트롤러가 취하거나 취하도록 제안되는 조치에 대한 설명
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 34 GDPR:
6.13.1.1 Обязанности и процедуры
Руководство по внедрению
В рамках общего процесса управления инцидентами информационной безопасности организация должна установить обязанности и процедуры для выявления и регистрации нарушений PII. Кроме того, организация должна установить обязанности и процедуры, связанные с уведомлением требуемых сторон о нарушениях PII (включая время таких уведомлений) и раскрытием властям, принимая во внимание применимое законодательство и / или регулирование.
…
Войти
для доступа к полному тексту