第 33 條 GDPR. 向監管機關進行個人資料侵害之通報
1. 於個人資料侵害發生時,控管者即應依第 55 條向監管機關通報, 不得無故遲延,且如可能,應於發現後 72 小時內通報,但個人資料 侵害無造成對當事人權利及自由之風險時,不在此限。於未於 72 小 時內向監管機關通報之情形,通報應附遲延之理由。
[…]
3. 第 1 項之通報至少應:
[…]
(b) 告知資料保護員之姓名及聯絡細節,或其他得獲得更多資訊之聯 絡者;
(c) 描述個人資料侵害之可能結果;
(d) 描述控管者已採取或預計採取用以處理個人資料侵害之措施,如 適當,應包括降低可能不利影響之措施。
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 34 GDPR:
6.13.1.1 Обязанности и процедуры
Руководство по внедрению
В рамках общего процесса управления инцидентами информационной безопасности организация должна установить обязанности и процедуры для выявления и регистрации нарушений PII. Кроме того, организация должна установить обязанности и процедуры, связанные с уведомлением требуемых сторон о нарушениях PII (включая время таких уведомлений) и раскрытием властям, принимая во внимание применимое законодательство и / или регулирование.
…
Войти
для доступа к полному тексту