数据控制者
并非所有个人数据泄露事件都体发出通知的义务。数据控制者必须确定泄露事件是否对自然人的权利和自由构成风险。风险分析应根据下表所列标准,并结合以下测试进行:
如果个人数据泄露可能导致自然人的权利和自由受到威胁, 公司必须通知相关监管机构
公司必须仅在违规行为可能对自然人的权利和自由造成高风险的情况下才通知受影响的个人
风险分析至少应该涉及以下问题:
是否有可能影响个人以及
这种影响是否很大
几乎任何事情都可能对自然人的权利和自由构成风险。增加一个外部因素就 企业主数据库 可能将无风险转化为风险。触发向监管机构通知义务的风险标准相对较低。相反,触发向受影响个人额外报告的高风险标准则相对较高。
数据主体的权利和自由面临风险的可能性和严重程度,应根据处理的性质、范围、背景和目的来确定。风险评估至少应考虑以下因素:
个人数据泄露的类型
例如,将医疗信息泄露给未经授权方的保密性泄露可能对个人造成不同的后果,而个人医疗详细信息丢失且无法再获取的泄露则可能造成不同的后果
个人数据的性质和敏感性
通常,数据越敏感,受影响人员受到损害的风险就越高。但是,请考虑以下几点:
背景:一个人的姓名和地址并不被视为敏感信息,但是,如果将养父母的姓名和地址透露给亲生父母,则对养父母和孩子而言,后果可能非常严重。
相反,其他明显公开的个人数据可能不会对其他情况下的个人构成可能的风险。
数据的潜在用途:涉及健康数据、身份证件或信用卡详细信息等财务数据的个人数据泄露本身都可能造成危害,但如果一起使用,则可能被用于身份盗窃
个人数据量:
请注意,少量高度敏感的个人数据可能会对个人造成重大影响;而各种细节的组合可能会泄露有关该个人的更多详细信息。此外,涉及大量个人的个人数据泄露事件可能会影响相应数量的个人。