《通用数据保护条例（GDPR）》是一项旨在保护欧盟居民个人信息的隐私法。GDPR通过向处理和控制系统个人数据的人施加某些要求来实现这一目标，包括要求此类处理有法律依据，确保网站有符合规定的隐私政策，并要求报告某些个人数据泄露事件。

在本文中，我们将讨论以下内容：

• 什么构成数据泄露；
• 需要向监管机构报告哪些数据泄露；
• 报告数据泄露的时间表；
• 需要向个人报告哪些数据泄露；以及
• 未报告的后果。

尽管数据泄露无论泄露了多少个人数据都是一个重大事件，但遵循GDPR和监管机构的指导将帮助您实施可以减少数据泄露影响的安全和隐私措施。

什么是数据泄露？

GDPR的第4条将个人数据泄露定义为“安全漏洞导致个人数据意外或非法破坏、更改、丢失、未经授权披露或访问个人数据，无论个人数据是传输、存储还是以其他方式处理。”为了确定是否发生了数据泄露，应立即确认是否已经实施了所有适当的技术保护和组织措施。以下是一些根据GDPR可能构成数据泄露的案例：

• 当个人数据丢失时；
• 当有人未经授权访问或共享数据时；或者
• 当数据因勒索软件攻击而不可用时。

需要向监管机构报告哪些数据泄露

《通用数据保护条例》（GDPR）要求在数据泄露可能不会对自然人的权利和自由造成风险的情况下，向监管机构报告任何数据泄露事件。

• 为了确定是否会对个人造成风险，必须评估数据泄露对个人可能产生的负面影响。负面影响可能包括：
• 个人数据控制权丧失；
• 权利受限；
• 身份盗窃或欺诈；
• 经济损失；
• 非授权的匿名化逆转；
• 声誉受损；以及
• 重大的经济或社会劣势。

在评估对个人的风险时，您应确定数据泄露发生的原因、潜在影响的严重程度、影响实际发生的可能性，并注意以下标准：

• 泄露的类型；
• 受损的个人数据的性质、敏感性和数量；
• 个人识别的容易程度；
• 对个人的后果的严重程度；
• 个人的特殊特征；
• 数据控制者的特殊特征；以及
• 受影响个人的数量。

如果确定对个人可能存在风险，则必须联系监管您的数据处理活动的相关监管机构。

报告数据泄露的时间表

GDPR对通知监管机构数据泄露的时间表非常严格——您必须在意识到个人数据泄露事件发生后立即通知。实际上，您必须在意识到泄露后的72小时内进行此通知。如果您需要延期，应在通知中说明延期原因，并且可以分阶段提供信息。

哪些泄露需要通知个人？

如果泄露可能导致个人权利和自由的高风险，则必须通知个人。当您进行风险评估时，您将在风险高于通知监管机构所需风险水平时通知个人。您应在必要时通知个人，此类通知将帮助个人采取措施保护自己免受泄露的影响。

未通知的后果

如果您在需要时未通知数据泄露，则可能被罚款高达200万欧元或全球营业额的2%，以较高者为准，因此合规至关重要。

数据泄露可能对您持有的个人数据的个人产生负面影响，这就是为什么GDPR对向监管机构和个人本身报告数据泄露有如此严格的要求。您的责任不仅在于实施适当的安保和隐私保护措施以防止数据泄露，而且在发生数据泄露时，还必须记录您所采取的所有应对措施。在这种情况下，拥有预先设定的数据泄露政策和程序对于及时、正确地应对，并满足GDPR规定的合规要求非常有价值。