英国的独立机构设立了公共利益的持久信息权利,通过公共机构和个人的数据隐私促进开放性。

乍看上去

  • GDPR和NIS地址不同的东西 - 英国GDPR涉及个人数据,而NIS涉及系统的安全性。
  • 然而,由于英国GDPR关于安全的规定以及NIS覆盖的大多数组织的可能性,两者之间存在相当大的重叠也是数据控制器(甚至是数据处理器)。
  • ICO是英国的数据保护稳压器。这意味着我们已经规范了OES和RDSP,而且只在数据保护法的背景下,他们是数据控制器的背景。
  • NIS要求OES和RDSPS如果发生事故,请通知其主管当局。如果事件是或者成为个人数据违约,那么您还需要将ICO与我们的职能分开通知ICO作为RDSPS的主管当局。

简单来说

NIS和英国GDPR相同吗?

不可以。这两项法律旨在解决不同的事情。NIS涉及网络和信息系统的安全性以及它们内的数字数据,而英国GDPR涉及个人数据的处理。

虽然安全性和数据保护齐头并进,但它们也不一样。从这个意义上讲,NIS实际上比英国GDPR更广泛,因为它涵盖了“数字数据”,这不仅包括个人数据,而且包括与网络和信息系统有关的任何数据及其提供和连续性。

另外,默认情况下,“数字数据”意味着任何手动数据NIS不包括NIS,与英国GDPR不同,其中涵盖了手动数据,其中这些数据形成的一部分或旨在形成归档系统的一部分。

与此同时,NIS适用于比英国GDPR更少的组织。除非您是OES或RDSP,否则NIS不会适用于您 - 您的安全义务将来自GDPR。

ICO调节OES吗?

不在NIS的背景下。然而,OES和RDSPS可能是控制器,并且在某些情况下在数据保护法下处理器。在处理个人数据的情况下,ICO有一个监管职能 - 但这涉及英国GDPR,而不是NIS。

在实践中,由于英国GDPR的安全要求和NIS的安全要求可能存在相当大的重叠。例如,英国GDPR还包括“CIA Triad”的经典信息安全概念。这意味着英国GDPR和NIS指令的要求之间存在更大的对齐。

进一步阅读

安全

英国GDPR适用于处理个人数据的任何组织。NIS仅适用于OES和RDSPS。

NIS事件也可以是个人数据泄露吗?

是的。许多,如果不是全部,NIS涵盖的组织是英国GDPR下的控制器或处理器;此外,它完全可以成为英国GDPR定义的NIS事件,或者可以成为个人数据违规。

NIS指令在第60页中识别出这一点,说:

'个人数据在许多情况下因事故而受到影响。在这种情况下,主管当局和数据保护当局应合作和交换所有有关事项的信息,以解决事故引起的任何个人数据漏洞。

NIS的第3(3)(F)规定了主管当局必须:

“酌情咨询和合作,并与信息专员在解决违反个人数据的事件中,

其原因在于,在实践中,可以在网络和信息系统上处理个人数据,特别是对于必要和数字服务。

首先,NIS涉及与计算机系统的操作,使用和维护有关的“数字数据”,此数据可以包括个人数据,具体取决于情况。这可能意味着NIS事件也是同时的个人数据违规。

其次,NIS事件可能会导致个人数据违规 - 例如,网络攻击者对服务的初始攻击进行了初始攻击,随后损害了服务进程(例如客户信息)的个人数据。初始攻击及其破坏性效果可包括NIS事件,同时随后的个人数据的非法访问可能包括个人数据泄露。

例子

OES受到网络攻击的影响,导致对其服务提供重大影响。它将这一事件报告到其主管当局在意识到它的72小时内。

然后,OES建立了事件也导致其客户数据库由攻击者非法访问。这意味着也发生了个人数据泄露,而OES必须根据英国GDPR对违约报告的要求通知ICO。

并非每个NIS事件都会导致个人数据泄露。一种简单的比较方式是考虑,在信息安全条款中,所有个人数据漏洞都是事件,但并非所有事件都是个人数据违规行为。

进一步阅读

个人数据违规

我们报告谁?

根据您的情况,您可能必须向您的主管当局(NIS)和ICO(根据GDPR)向所有的主管部门报告事件。如果您是RDSP,我们的NIS事件报告工具允许您指示个人数据是否已被泄露。

英国GDPR是一项从NIS的完全单独的立法。如果您被NIS覆盖,而且是控制器或处理器,那么英国GDPR的义务适用于您此外在NIS下的要求。

您可能必须通知两个单独的监管机构与您的NIS主管当局以及ICO(如果同样的事件也是个人数据泄露)。您必须在没有过度延迟的情况下进行两个通知,并且在72小时内变得了解,可行的地方。如果您是数据处理器,则必须在没有过度延迟的情况下通知您的控制器,以便它可以根据英国GDPR的要求在72小时内通知ICO。

然而,您可能不知道NIS事件是否是立即成为个人数据漏洞。例如,在72小时内通知您的主管当局后,您随后的调查发现该事件也导致了个人数据泄露。此时,您有72小时通知ICO。

我们可以被罚款两次吗?

由于英国GDPR和NIS是单独的法律,您可能会在两者下进行监管行动。但是,任何行动可能与事件的不同方面有关,以及有关具体法律的潜在侵权。

ICO将与其他主管当局和NCSC密切合作,因此我们将保持一个共同的方法。但是,如果NIS事件也是个人数据泄露,我们有具体的监管职能,我们必须遵循完全与NIS法规分开。

我们采取的任何监管行动,在NIS下,英国GDPR或两者都将是合适的,并与所确定的失败成比例。