个人数据是一个广泛且包罗万象的概念,包括数据(如果可以通过附加信息将其归属于个人)。在考虑数据是否属于个人数据时,您应该考虑以下三个问题:
该信息是否或可用于识别自然人?
如果这些信息与其他信息结合或链接起来,是否可以用来识别自然人?
信息处理的方法是否可以识别自然人?
如果是,GDPR 是否适用于可能受到违规影响的特定个人数据?
您的公司是否在英国或欧盟成立(位于或运营)?
所涉及的个人数据是否是贵公司利用欧盟市场或监控英国或欧盟人员行为的结果?
数据是否涉及位于英国或欧盟的员工、客户或供应商?
第二步:通知监管机构
如果您确信初始事件观察记录中包含的 企业主数据库 信息值得向监管机构报告,那么您应该通知相关监管机构。
如果您已意识到违规行为,但需要更多时间进行全面调查以了解其全部范围,则您不应将初始通知延迟超过72小时,而应向监管机构提供尽可能多的信息,并在获得进一步详细信息后,在初始通知中补充说明。这被称为占位通知。
如果在 72 小时内对违规行为知之甚少或预计知之甚少,您应尽快向监管机构提供初步占位通知。
步骤 3:确定公司是否充当数据处理者或数据控制者
如果发生个人数据泄露,您需要确定公司是数据控制者还是数据处理者,因为两者都有单独的通知报告义务。
公司将成为数据控制者,从数据主体收集个人数据并确定处理的目的和方法。
公司将成为数据处理者,根据数据控制者的指示,代表数据控制者处理个人数据。
您的公司将把这些信息归类为其处理记录 (RoPA) 的一部分。
数据处理器
数据处理者必须尽快通知数据控制者。您可能已约定具体的通知程序和时间表。您应该确定您是否承担具体的合同报告义务。数据控制者可能需要更多关于违规行为的信息。您应确保让数据控制者及时了解所有更新信息。请记住,您有义务根据数据控制者的要求提供补充信息。