网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

1.在个人数据泄露的情况下，控制者不能不当延误，而且至少应当在知道之时起72小时以内，根据第55条向监管机构进行通知，除非个人数据的泄露不会导致自然人权利和自由的风险。如果通知迟于72小时，需要对迟延原因进行解释。

2.在控制者知道发生信息泄露而不当延误时，处理者应当通知控制者。

3.第一款所说的通知，至少应当包括：

（a）对于所泄露的个人数据的性质进行描述，包括相关数据主体以及数据记录的种类和大致数量；

（b）和数据保护局或者是其他获取更多信息的联系点交流名称和联系方式；

（c）描述个人信息泄露的可能情况；

（d）重视个人数据泄露问题，描述控制者采取的或者计划采取的措施，包括在适当情况下能够减轻可能的负面影响的措施。

4.只要没有造成不适当的进一步延误，在信息不可能同时提供的情况下可以分阶段进行。

5.控制者应当记录任何个人数据泄露情况，包括和个人数据泄露有关的事实、影响和采取的补救性措施，这些可以使得监管机构验证行为的合规性。

第34条

关于数据主体的个人数据交流

当个人数据泄露可能对自然人权利和自由形成很高的风险时，控制者应当毫不延误地就个人数据泄露的主体进行交流。

本条第一款提到的数据主体交流，应当至少应当包括第33条第三款的（b）（c）（d）三项所涉及的信息和建议，并且用清晰平实的语言描述个人数据泄露的性质以及内容。

在一下这些情况下，不能适用第一款所提到的数据主体交流：

（a）控制者已经采取合适的技术性、组织性保护措施，而且此类措施已经被应用于受到信息泄露影响的个人信息之中，尤其是那些未经授权任何人都无法得知的技术，比如，数据加密技术；

（b）控制者已经采取能够确保第一款所提到的（自然人）权利和自由不受侵犯的高风险不再可能实现的措施。

（c）这会涉及到不相称的努力。在这样的情况下，就应当有一个能够使得数据主体获得平等有效通知的公共交流机制或者相类似的举措。

如果控制者并未就数据主体进行个人数据交流，考虑到个人数据信息泄露的高度风险，监管机构可以要求其这样做或者可以决定其符合第三款列出的任何条件。

第三节

数据保护影响评估以及事先咨询

第35条

数据保护影响评估

1.鉴于一种数据处理方式，尤其是使用新技术进行数据处理，统筹考虑处理过程的性质、范围、内容和目的，（不难得知）这很可能对自然人权利和自由带来高度风险。在进行数据处理之前，控制者应当对就个人数据保护所设想的处理操作方式的影响进行评估。一个单一的评估方法也许能够对目前的相似的高风险状况，提供相类似的一组操作方式。

2.当进行数据保护影响评估时，受委任的控制者可以向数据保护局寻求帮助。

3.以下情形尤其适用于第一款所说的数据保护：

（a）对自然人个人情况评估所进行的系统和广义上的理解也是基于自动处理（包括分析）以及基于依据

（b）第9条第一款提到的大范围的数据处理或者第十条提到的关于刑事定罪和罪行相关的个人信息。

（c）一个大规模的公共可访问区域的系统性监测。

4.监督机构应当根据第一款，建立并且公布一套数据处理机制，使其符合评估影响的需要。监管机构应当就这些与第68条所提到的董事会进行交流。

5.监督机构也可以建立以及向公众发布并不强制要求数据评估保护的处理机制种类。监管机构应当就此与董事会进行交流。

6.在采取第四款第五款的措施之前，监管机构应当应用63条的监管机制，包括与货物提供、服务提供、数据主体或者某些成员国的行为管控相关或者与可能会实质上影响到个人数据自由运动相关的处理活动。

7.评估至少包括以下内容：

（a）对于所设想机制以及处理目的（包括数据应用、控制者追求的立法利益）的系统性描述；

（b）对与处理目的相关的处理机制必要性的评估；

（c）对第一款所提到的数据主体的权利自由的风险性评估；

（d）所设想的处理风险的举措，包括保障措施、安全措施、确保个人数据保护安全的机制以及说明数据主体权利和立法利益方面的合规性举措。

8.在评估处理机制影响的过程中，对于40条所规定的相关管理者以及处理者行为的合法性应当考虑在内，尤其是关于数据保护评估目的的部分。