在有关数据泄露报告的系列文章的最后一个博客中,我们介绍了何时有必要向数据受到影响的个人报告个人数据泄露。
向个人报告数据泄露的门槛比向ICO报告的门槛更高。 并非所有必须报告给ICO的数据泄露都需要强制通知个人。 如果有违反行为可能给他们的权利和自由带来高风险的情况,则有义务“立即”通知个人。 GDPR还要求沟通使用清晰明了的语言。
在以下情况下通知个人的义务有一些例外:
- 数据控制者已经实施了适当的技术和组织保护措施,并且这些措施适用于受个人数据泄露影响的个人数据,特别是那些使个人数据无法被任何未经授权访问的人理解的措施,例如加密;要么
- 控制者已经采取了后续措施,以确保不再可能对个人的权利和自由带来高风险;要么
- 这将涉及不成比例的努力。但是在这种情况下,GDPR而是需要进行公共交流或采取类似措施,以同等有效的方式告知个人。
ICO希望避免“通知疲劳”,以确保受严重违反行为影响的个人不会自满。 太多的通知将导致忽略它们,因此个人不太可能 参与或采取适当措施保护自己。 此外,如果个人被告知违反行为,而这不太可能导致其权利和自由受到威胁,则他们可能会遭受不必要的困扰。
评论