GDPR Artikel 34 skitserer en organisations forpligtelse til at informere de registrerede om et databrud, som sandsynligvis vil resultere i en betydelig risiko for deres rettigheder og friheder som enkeltpersoner.
Kommunikation af et brud på persondatasikkerheden til den registrerede
- Når bruddet på persondatasikkerheden sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og friheder, skal den dataansvarlige meddele bruddet på persondatasikkerheden til den registrerede uden unødig forsinkelse.
- Meddelelsen til den registrerede, der er omhandlet i stk. 1 i denne artikel, skal på et klart og klart sprog beskrive arten af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i litra b), c) og d. ) i artikel 33, stk.
- Den i stk. 1 omhandlede meddelelse til den registrerede er ikke nødvendig, hvis en af følgende betingelser er opfyldt:
- a) den dataansvarlige har implementeret passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger blev anvendt på de personoplysninger, der er berørt af bruddet på persondatasikkerheden, især dem, der gør personoplysningerne uforståelige for enhver person, der ikke har tilladelse til at få adgang til dem, såsom kryptering.
- b) den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og friheder, som omhandlet i stk.
- c) det ville medføre en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet være tale om en offentlig kommunikation eller lignende foranstaltning, hvorved de registrerede informeres på en lige så effektiv måde.
- Hvis den dataansvarlige ikke allerede har kommunikeret bruddet på persondatasikkerheden til den registrerede, kan tilsynsmyndigheden, efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden medfører en høj risiko, kræve, at den gør det eller beslutte, at en af de betingelser, der henvises til. til i stk. 3 er opfyldt.
Kommunikation af et brud på persondatasikkerheden til den registrerede
- Når bruddet på persondatasikkerheden sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og friheder, skal den dataansvarlige meddele bruddet på persondatasikkerheden til den registrerede uden unødig forsinkelse.
- Meddelelsen til den registrerede, der er omhandlet i stk. 1 i denne artikel, skal på et klart og klart sprog beskrive arten af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i litra b), c) og d. ) i artikel 33, stk.
- Den i stk. 1 omhandlede meddelelse til den registrerede er ikke nødvendig, hvis en af følgende betingelser er opfyldt:
- a) den dataansvarlige har implementeret passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger blev anvendt på de personoplysninger, der er berørt af bruddet på persondatasikkerheden, især dem, der gør personoplysningerne uforståelige for enhver person, der ikke har tilladelse til at få adgang til dem, såsom kryptering.
- b) den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og friheder, som omhandlet i stk.
- c) det ville medføre en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet være tale om en offentlig kommunikation eller lignende foranstaltning, hvorved de registrerede informeres på en lige så effektiv måde.
- Hvis den dataansvarlige ikke allerede har kommunikeret bruddet på persondatasikkerheden til den registrerede, kan kommissæren, efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden medfører en høj risiko, kræve, at denne gør det eller kan beslutte, at nogen af de betingelser, der henvises til, 3 er opfyldt.
Bed om et tilbud
GDPR artikel 34 gør det klart, at ikke alle brud skal kommunikeres til registrerede. Organisationer bør dog meddele detaljerne om et brud, når det sandsynligvis vil resultere i en høj risiko for fysiske personers rettigheder og friheder.
Artikel 34 skitserer tre hovedområder at fokusere på, når der kommunikeres om et databrud:
Controllere er ikke forpligtet til at kommunikere et brud under følgende tre scenarier:
I dette afsnit taler vi om GDPR artikel 34(1), 34(2), 34(3)(a), 34(3)(b), 34(3)(c) og 34(4)
For at skabe en sammenhængende, velfungerende hændelsesstyringspolitik, der sikrer tilgængeligheden og integriteten af privatlivsoplysninger under kritiske hændelser, bør organisationer:
Personale, der er involveret i hændelser vedrørende privatlivsinformationssikkerhed, bør forstå:
Når personalet beskæftiger sig med hændelser vedrørende privatlivsinformationssikkerhed, bør:
Rapporteringsaktiviteter bør være centreret omkring 4 nøgleområder:
I dette afsnit taler vi om GDPR artikel 34 (2) og 34 (1)
Organisationer bør sikre, at hændelser vedrørende beskyttelse af privatlivets fred håndteres af et dedikeret teknisk team med færdigheder og ressourcer til at påvirke en hurtig løsning (se ISO 27002 Kontrol 5.24).
Organisationer bør:
GDPR artikel | ISO 27701 klausul | ISO 27002 kontrol |
---|---|---|
EU GDPR artikel 34 (1) til 34 (4) | ISO 27701 6.13.1.1 | 5.25 5.26 5.5 5.6 6.8 8.15 8.16 |
EU GDPR artikel 34 (2) og 34 (1) | ISO 27701 6.13.1.5 | 5.24 5.27 5.28 5.29 5.30 |
På grund af indbygget vejledning og vores 'Adopter, Adapt, Add' implementeringstilgang gør ISMS.online demonstration af GDPR-overholdelse til en leg. En række kraftfulde tidsbesparende funktioner vil også være tilgængelige for dig.
Med vores intuitive platform kan du opnå flere informationssikkerheds- og privatlivsmål ved at kortlægge dit arbejde på tværs af flere standarder og rammer.
Hvis du har brug for hjælp eller rådgivning under din rejse mod GDPR, kan vi stille vores team af interne eksperter til rådighed eller anbefale en betroet partner, der kan hjælpe.
Find ud af mere ved booking af en demo.
Jeg har gjort ISO 27001 på den hårde måde, så jeg værdsætter virkelig, hvor meget tid det har sparet os med at opnå ISO 27001-certificering.