关于个人数据泄露通知的示例 Published by EDPB

指南01/2021 关于个人数据泄露通知的示例 Published by EDPB

1.关于”个人数据泄露”的名词翻译
”Data Breach”常见于译成”数据泄露”，而实际上GDPR意义上的”Data Breach”范围上同时覆盖到了个人数据的完整性、可用性和机密性，所以在很多场景下翻译为”数据违规”或”数据破坏”会更准确一些。
2.关于”Data Breach Notification”概念的理解
从名词翻译“个人数据泄露通知”，很容易错误地理解为在发生了个人数据违规事件后，需要做的仅仅是怎么正确地做”通知”。实际上，在这里面包含了三方面的工作内容要求。

• 任务1：”internal register”，应根据GDPR第33（5）条对违规事件做好记录，包括与个人数据泄露有关的事实、其影响和采取的补救措施，这也是在所有违规事件中都必须做的一项工作；
• 任务2：”notify SA”，根据第33（1）条要求将违规事件通知监管机构，除非该违规事件不太可能对自然人的权利和自由造成风险，风险评估考虑的因素包括可能影响的个人数据的性质、敏感性、数量和背景等；
• 任务3：”communicate to data subjects”，当个人数据泄露可能对自然人的权利和自由造成高风险时，须根据第34条要求将个人数据泄露告知数据主体。

值得注意的是，通知SA时使用的是”notify”，通知数据主体时使用的是”communicate”，后者无论在形式上，还是在内涵上都要比前者丰富得多。

更多详细资料请参见：EDPB-GDPR个人数据泄露通知示例指南202101.pdf