《GDPR下個人數據事故通知指南》十問

近日，歐盟數據保護委員會（EDPB）發佈《GDPR個人數據事故通知指南2.0》（Guidelines 9/2022 on personal data breach notification under GDPR 2.0）（以下簡稱《通知指南》），更新了發生個人數據事故後如何通知相關主體的操作規則。本文將以問答形式介紹《通知指南》中的主要條款，以供大家參考。

不是的，根據《通知指南》第35條，數據處理者應當評估對個人權益受到影響的可能性並進而確定是否報告監管機構，以及需要採取的措施。爲此，數據處理者應當建立內部制度以能夠發現和處理數據事故。比如，用一些技術措施比如數據流和日誌分析器通過關聯日誌數據發現網絡事件並報警。一旦監測到安全事件第一時間上報管理層以確保正確處理。上述措施和報告制度可以在應急方案中詳細列明。[2]

根據GDPR第33（3）條，應該向監管機構提供：1）數據安全事故的性質包括個人信息主體的種類及大概數量以及個人信息記錄的種類及大概數量；2）數據保護官或其他聯繫人的姓名和聯繫方式以便監管機構獲取更多信息；3）事故可能後果；4）已經採取或建議採取的措施，如有可能，也包括減少負面影響的措施。但對個人信息主體或個人信息記錄的種類GDPR並未規定。根據《通知指南》第50條，個人信息主體種類可以包括兒童或其他弱勢羣體、殘疾人、僱員或顧客。個人信息記錄的種類可以包括醫療信息、教育記錄、金融情況、銀行賬號、護照號等。提供這些信息的目的是確定是否存在特定傷害的風險從而將損害降到最低。提供上述信息時並不要求確切的數字。

可以。當短時間內遇到類似的安全事故時可以超過72小時報告，但如果是不同類型的安全事故需要在72小時內單獨報告。[3]

根據GDPR第33（1）條，當數據事故不會影響數據主體的權益和自由時，可以不用報告監管機構。比如，事故發生後，使得本就處於公有領域的個人信息泄露。另外，如果個人信息被加密保護以致於未授權第三方根本無法接觸到個人信息並丟失的個人信息只是一個副本或有備份，則這種事故則不需要報告監管機構。[5]比如存有個人信息的移動設備丟失了，而該移動設備具有開機密碼其非常安全，此時可以不用報告。但如果以後發現密碼被破解或者加密軟件或算法容易被破解，則此時就要向監管機構報告了。這也就要求數據處理者充分瞭解其處理數據的各項加密措施的功能和級別了。

根據GDPR第34（1）條，當數據安全事故可能對自然人的權利和自由帶來較高風險時，數據處理者需要毫無遲延地將數據安全事故告知個人信息主體。據此，告知個人信息主體的門檻要高於向監管主體報告的門檻。

數據處理者應當向個人信息主體告知如下信息：

原則上逐一告知，只有當受影響的個人信息主體數量特別多以致逐一告知將給數據處理者帶來與告知不相匹配的工作量時纔可以通過發公告等公衆能夠知悉的方式進行統一告知。[7]

由於監管機構比個人信息主體提前得到數據事故的消息，其有可能會單獨或聯合其他執法機構展開調查，而此時如果他們覺得過早向個人信息主體告知安全事故時可能影響調查。這時，數據處理者可以在徵得監管機構同意的情況下，暫緩向個人信息主體告知數據事故。[9]

根據GDPR第34（3）條，符合下列情形之一的，可以豁免告知義務：