越来越多的网络安全事件对澳门赌场官方下载造成了严重的负面影响, 促使世界各地的立法者探索新的政策和法规. 当然, GDPR 去年最热门的话题之一是 报告 欧盟委员会的一份报告显示,2018年5月,谷歌对GDPR的查询比与碧昂斯和金·卡戴珊有关的查询更受欢迎。. 完成了GDPR的初始实施阶段, 公司一直在着手应对与新要求相关的实际挑战. 其中之一是向监管机构报告个人数据泄露,并通知数据主体.
然而, 《澳门赌场官方软件》并不是唯一规定了将数据泄露和事件通知特定方的义务的具有约束力的法案. 一些国家跟随隐私保护“浪潮”,推出了自己的数据保护法案,要求发布类似的违规通知. 还有其他行为, 哪些不只关注个人资料事宜, 但也包括关于违规和事件的通知程序(例如, NIS指令, PSD 2, e隐私指令 以及实施这些指令的国家一级的行为和准则). 广泛适用的规则(这对国际业务尤其重要)可能会导致组织问题,并对可能发生的事件所采取的行动产生误解. 此外,在不同情况下使用的术语也有所不同. 有些行为涉及违约, 一些是事故, 在每个特定的情况下, 所用术语的含义应在相应行为的上下文中加以评估.
为了了解应该采取哪些步骤,以确保在欧盟适当的事件或违规报告, 建议考虑以下几个方面,并加以总结,以备今后使用:
1. 适用于公司的要求. 根据不同的因素,公司可能会受到某些法律义务的约束. 例如, 当考虑到公司注册或开展业务活动的地区时,适用性可能会有所不同, 提供的服务或生产的商品的性质, 以及受公司影响的客户或合作伙伴. 例如, GDPR也适用于向位于欧盟的数据主体提供商品或服务的非欧盟公司, 而NIS指令则适用于欧盟内部的网络和信息系统. 由于欧盟指令通常在国家层面上实施, 公司应根据本国法律检查其义务. 此外,建议不要忘记刑事或行政法律等行为. 在一些国家, 这些文件还包括可能要求承担报告义务的某些类型的事件.
2. 事件分类. 明确哪些行为对公司具有约束力, 有必要了解哪些情况“触发”报告事件的义务-即, 信息的类型, 系统, 受影响的人, 在哪个尺度上, 该事件属于何种风险级别,是否需要披露. 例如, 由数字服务提供商或关键基础设施运营的个人数据和金融信息系统可能受到影响, 但不一定要求在所有情况下都报告.
3. 反应时间. 下一步是解决报告不同类型的违规或事件的最后期限. 法定要求的截止日期可能从几个小时到几天或几个月不等, 取决于事件的类型.
4. 报告. 通知义务的范围也可能有所不同. 有些行为需要向当局报告, 如个人数据保护监管机构, 类似于计算机应急响应小组的权威机构, 金融及电讯监管机构, 或警察. 另外, 公司可能有义务通知其他受影响方(客户), 员工, 合作伙伴).
5. 内容. 最后一步是确定将根据适用需求报告的信息. 也可以使用特殊报表或官方模板(如果有的话)。. 然而, 这并不意味着公司不能为内部事件响应目的收集任何其他信息.
上述信息的总结应该以一种对公司负责事件报告的人来说是可以理解的方式进行沟通. 然而, 上述活动只是开始, 下一个任务是确保报告过程组织正确,并以适当的方式执行.
