英国成立的独立机构,以维护公众利益为目的的信息权利,促进公共机构的公开和个人的数据隐私。

在短暂的…

如发生“个人资料泄露”,服务提供者须通知ICO。如果违规行为可能对客户隐私造成不利影响,他们还必须通知客户,并保存违规日志。

在更多的细节……

什么是“个人资料泄漏”?

个人数据泄露是:

"违反保安规定,导致就提供公共电子通讯服务而传送、储存或以其他方式处理的个人资料意外或非法损毁、遗失、更改、未经授权披露或查阅"。

个人资料泄漏可能是指资料控制人以外的其他人在未经授权的情况下查阅个人资料。但如果机构内部出现未经授权的访问,或数据控制者自己的雇员不小心修改或删除个人数据,也可能发生个人数据泄露。

如果有缺口,我们必须做什么?

服务提供商(如电信供应商或互联网服务供应商)在发生个人资料泄露时负有一定的责任。这些在法规5A中规定。

如果您是服务提供商,您必须:

  • 通知图标;
  • 考虑是否通知客户;和
  • 在你自己的违规日志中记录细节。

这取代了英国GDPR违约报告义务。你不需要拿单独的行动遵守英国GDPR

我们何时以何种方式通知ICO?

您必须在了解违反行为的基本事实后24小时内通知ICO。该通知必须至少包括:

  • 你的姓名和联系方式;
  • 违约的日期和时间(或估计);
  • 您检测到它的日期和时间;
  • 违约类型的基本情况;和
  • 有关个人资料的基本资料。

请使用我们的违反通知形式。如有必要,你可以在表格上附加文件。

如果可能的话,您还应包含事件的完整详细信息,因此受影响的个人数量及其对其可能的影响,以减轻这些影响的措施以及您对客户通知的信息。如果这些详细信息尚不可用,则必须尽快提供它们。您必须在三天内向我们提交第二个通知表,其中包括这些细节,或者告诉我们您将需要多长时间才能获得它们。

未能提交违约通知将招致1000英镑的罚款。

我们何时以及如何通知客户?

如有关的违反可能对您的个人资料或私隐造成不利影响用户或用户,你需要通知他们,不要有不必要的延误。你需要告诉他们:

  • 你的姓名和联系方式;
  • 预计违约日期;
  • 对事件的总结;
  • 个人资料的性质及内容;
  • 对个人的可能影响;
  • 贵方为解决违约而采取的任何措施;和
  • 他们如何减轻任何可能的不利影响。

如果您可以证明数据已被加密(或通过类似的安全措施使其无法理解),则不需要告诉您的订阅者数据被泄露的情况。

如果你没有告诉你的客户,ICO可以要求你这样做,如果我们认为违反可能会对他们产生不利影响。

我们需要在入侵日志中记录什么?

您还必须在库存或日志中保存您自己的所有个人数据泄露记录。它必须包含:

  • 围绕违约的事实;
  • 违约的影响;和
  • 补救行动。

我们制作了一个模板日志帮助你记录你需要的信息。我们也要求你们这样做提交您的日志每月寄给我们。

欲了解更多信息,请参阅我们关于服务提供商的详细指南PECR安全漏洞的通知