GDPR在第四章(数据控制者与数据处理者)第二节个(人数据安全)第32、33、34条概述了处理安全、向监管机关通知个人数据泄露、向个人主体告知个人数据泄露的处理原则(文末附原文)。在德国首例GDPR数据处理——对聊天社交平台Knuddels.de的罚款,很好的说明了对个人数据安全,企业应该事先明白哪些道理才能尽可能的弥补错误。
案件详情:
2018年夏天,有黑客攻击了Knuddels.de平台,发现约有808,000封电子邮件地址和180多万个用户名和密码,随后黑客在部分提供云存储服务的网上以明文形式公布了这些信息。
德国数据保护当局调查显示,Knuddels.de平台确实以纯文本形式存储用户数据, 且没有任何保障措施,判罚其承担2万欧元的罚款。
相关媒体报道称,Knuddels.de平台曾在网站上声称“2012年,公司通过哈希方式加密存储了用户的密码”,但令人啼笑皆非的是,该平台在使用哈希加密的方式存储后,竟然同时把非哈希版本的明文账号密码也保留在了网络服务器上。发生黑客事件后,该平台很快删除了未哈希版的密码版本,并表示"很抱歉, 我们没有早点采取这一步骤"。
事后,Knuddels.de通知了其用户, 暂时停用了所有账户,并向监管当局进行了报告,以及实施更多的安全措施。
为什么罚金是2万欧元?为什么不是更高?
根据GDPR征收行政罚款的一般条件:违反规定者将被处以高达10 00万欧元的行政罚款,当主体为企业时,则高达前一财政年度全球年营业额总额的2%;或者被处以高达2000万欧元的行政罚款,当主体为企业时,则高达上一财政年度全球年营业额总额的4%;两者以较高者为准。而德国一聊天社交平台Knuddels.de因以明文方式存放其用户的账号密码这么低级的错误,被判罚承担2万欧元的罚款,为什么不是更高?
显然,最高罚金仅仅在最严重的违法行为下适用。根据GDPR第83条规定“行政罚款应当在个案中有效、与违反本条例的行为相称并具有惩戒性”,在确定罚款数额时,应当考虑包括违法行为的性质、严重程度、故意或过失、采取的措施、以前的违法行为、为了补救不利影响而和监管机构的配合程度、受影响的个人数据类别、是否履行的报告等因素。
另外,根据GDPR第58条规定,欧盟监管机构有调查、改正、处罚及发布指导意见的权力,对违反GDPR的数据控制者或者处理者的处罚也有多种形式,包括:警告,申诫,要求数据控制者、处理者改正、要求对个人数据予以更正或擦除等。
明显可以看出,在这起罚款事件上中,Knuddels.de犯了一个很低级的错误。但因为Knuddels.de与德国数据保护当局有着较高的合作透明度和配合度,因此处以了目前程度的罚款。
经历此案,企业应对个人数据安全事件,怎样才能避免犯“低级错误”?怎样做才能符合法律的要求?当数据意外泄露时,企业又该怎样与当局沟通?是否任何数据泄露都应通知到数据主体?可以不通知吗?SCA在此将GDPR对个人数据安全的要求,即处理安全、向监管机关通知个人数据泄露、向个人主体告知个人数据泄露,法律原文附录如下,希望企业能够积极参考,在实际事务中,还请参考有关法律和专家的指导。
第32条处理安全
1、考量现有技术实施的成本和处理的性质、范围、背景和目的以及给自然人的权利和自由带来的不同可能性和严重程度的风险,数据控制者、数据处理者应当采取技术性和组织性措施以保证应对风险的适当安全水平,酌情考量包括但不限于以下因素:
(a)个人数据匿名化和加密;
(b)保证处理系统和服务持续保密、完整、可用和自我修复的能力;
(c)发生物理性或技术性事故的情况下及时恢复个人数据的可用性和访问的能力;
(d)定时测试、评价和评估确保处理过程安全的技术性和组织性措施的有效性。
2、衡量安全措施的适当水平,应当特别考量因处理产生的风险,特别是在传输储存或进行其他处理时个人数据被意外或非法破坏、遗失、变更、未经授权披露或访问。
3、遵守本条例第40条规定的经批准的行为准则或第42条规定的经批准的认证机制可以作为被条例第1款规定的证明要素。
4、数据控制者和数据处理者应当采取措施,以确保在数据控制者和数据处理者授权下行动且有权访问个人数据的任何自然人,除非数据控制者向其发出指令,不能对该类数据进行处理,欧盟或欧盟成员国法律要求其他处理的除外。
第33条 向监管机关通知个人数据泄露
1、在个人数据泄露时,数据控制者应当无不当延迟且不晚于发现后72小时内(若可行)依据本条例第55条向相关监管机关发出通知,个人数据的泄露不大可能造成对自然人的权利和自由的风险的除外。未在72小时内向监管机关发出通知的,在通知时应对延迟的原因进行解释。
2、数据处理者应当在发现数据泄露后无不延迟地通知控制者。
3、第1款规定的通知至少应包括:
(a)对所泄露个人数据性质的描述,包括涉及的数据主体和个人数据记录的类别和大致的数量(如可能);
(b)数据保护官的名称和详细联系方式或其他可以获取更多信息的联络点;
(c)对个人信息泄露的可能结果的描述;
(d)对数据控制者应对个人数据泄露已经采取的或者计划采取的措施的描述,包括减轻可能负面影响的措施(如适当)。
4、在信息无法同时提供的情况下,信息可以分阶段提供,不得有进一步不当迟延。
5、数据控制者应当记录任何个人数据泄露,包括和个人数据泄露有关的事实、泄露的影响和采取的补救性措施。该记录应当使监管机关得以检查是否与本条例相符。
第34条 向数据主体告知个人数据泄露
1、当个人数据泄露可能给自然人的权利和自由造成高度风险时,数据控制者应该无不当延迟地将个人数据泄露告知主体。
2、本条例第一款规定的告知义务应当至少用清晰且简明的语言描述个人数据泄露的性质,并至少包括本条例第33条第3款的(b)(c)(d)三项规定的信息和措施。
3、本条第1款规定的向数据主体告知的义务在以下情形下无需履行:
(a)数据控制者已经采用适当技术性和组织性保护措施,且此类措施已经应用于受到数据泄露影响的个人数据,特别是使未经授权访问者无法识别个人数据的措施,如数据加密;
(b)数据控制者已实施后续措施,足够确保第1款规定的数据主体的权利和自由的高度风险不再有可能实现的;
(c)需要不成比例的投入,在该情形下,应采取能够使数据主体获得相同有效通知的公共沟通机制或类似措施代替。
4、如数据控制者并未向数据主体告知个人数据泄露,监管机关考量个人数据信息泄露导致高度风险的可能,可以要求数据控制者履行告知义务或决定其需满足第3款列出的任意一条。
从上述案例中我们不难发现,虽然数据控制者已经对数据主体的数据进行了加密,但是在数据存储的过程中由于疏忽导致泄露。这些工作漏洞在日常企业工作中都是应该使用有效的组织管理措施,从而避免此类情况发生的。当然,企业自身的员工还应该有相应的技术能力,可以有效实施组织规定的管理措施。
关于企业如何建立信息安全管理体系,以及相关人员如何提高个人数据保护实施能力,SCA均由相应培训内容,欢迎您与我们联系。
PS:本文由SCA结合GDPR官方文档整理,转载请注明出处https://gdpr-info.eu/art-32-gdpr/。参考文章德《国首例GDPR处罚案出炉,企业竟犯如此低级错误》 http://www.sohu.com/a/279728054_120008352
SCA关注安全通信和身份认证领域,为信息安全领域提供中立、专业的认证咨询服务。欢迎关注SCA官方微信公众号“奥航智讯”留言讨论。更多GDPR相关内容请点击下方文字链接:
SCA连载系列之| GDPR个人数据处理的6大原则包含哪些内容?
SCA连载系列之| GDPR哪些情况下会对企业征收行政罚款?
SCA连载系列之| GDPR个人“同意”后才能收集用户信息,要怎样操作才合规?
SCA连载系列之GDPR合规| 从数据主体处收集信息时的信息提供,应包含哪些内容?
SCA连载系列之| GDPR“数据处理”、“处理安全”、“加密”分别对应哪些内容?
SCA连载系列之GDPR合规| 企业应该怎样履行“设计”和“默认”数据保护的义务?
SCA连载系列之GDPR合规| 企业应如何进行数据保护影响评估(DPIA)?
SCA连载系列之GDPR合规| 数据处理记录是必须的吗?小企业也要做吗?
SCA连载系列之GDPR合规| 对个人数据删除权,企业有哪些责任?
