GDPR Artikel 34 beskriver en organisations skyldighet att informera registrerade om ett dataintrång, vilket sannolikt kommer att leda till en betydande risk för deras rättigheter och friheter som individer.
Kommunikation av ett personuppgiftsintrång till den registrerade
- När personuppgiftsintrånget sannolikt kommer att leda till en hög risk för fysiska personers rättigheter och friheter, ska den registeransvarige utan onödigt dröjsmål meddela personuppgiftsintrånget till den registrerade.
- Meddelandet till den registrerade som avses i punkt 1 i denna artikel ska på ett klart och tydligt språk beskriva karaktären av personuppgiftsintrånget och innehålla åtminstone den information och de åtgärder som avses i punkterna b, c och d. ) i artikel 33.
- Den kommunikation till den registrerade som avses i punkt 1 ska inte krävas om något av följande villkor är uppfyllt:
- a) den personuppgiftsansvarige har vidtagit lämpliga tekniska och organisatoriska skyddsåtgärder, och dessa åtgärder har tillämpats på de personuppgifter som berörs av personuppgiftsintrånget, särskilt sådana som gör personuppgifterna oförståeliga för någon person som inte har behörighet att komma åt dem, som kryptering.
- b) den registeransvarige har vidtagit efterföljande åtgärder som säkerställer att den höga risken för de registrerades rättigheter och friheter som avses i punkt 1 inte längre sannolikt kommer att förverkligas.
- c) Det skulle innebära oproportionerligt stora ansträngningar. I sådant fall ska det istället finnas en offentlig kommunikation eller liknande åtgärd varigenom de registrerade informeras på ett lika effektivt sätt.
- Om den personuppgiftsansvarige inte redan har meddelat den registrerade personuppgiftsintrånget kan tillsynsmyndigheten, efter att ha övervägt sannolikheten för att personuppgiftsintrånget skulle leda till en hög risk, kräva att den gör det eller besluta att något av de villkor som avses till i punkt 3 är uppfyllda.
Kommunikation av ett personuppgiftsintrång till den registrerade
- När personuppgiftsintrånget sannolikt kommer att leda till en hög risk för fysiska personers rättigheter och friheter, ska den registeransvarige utan onödigt dröjsmål meddela personuppgiftsintrånget till den registrerade.
- Meddelandet till den registrerade som avses i punkt 1 i denna artikel ska på ett klart och tydligt språk beskriva karaktären av personuppgiftsintrånget och innehålla åtminstone den information och de åtgärder som avses i punkterna b, c och d. ) i artikel 33.
- Den kommunikation till den registrerade som avses i punkt 1 ska inte krävas om något av följande villkor är uppfyllt:
- a) den personuppgiftsansvarige har vidtagit lämpliga tekniska och organisatoriska skyddsåtgärder, och dessa åtgärder har tillämpats på de personuppgifter som berörs av personuppgiftsintrånget, särskilt sådana som gör personuppgifterna oförståeliga för någon person som inte har behörighet att komma åt dem, som kryptering.
- b) den registeransvarige har vidtagit efterföljande åtgärder som säkerställer att den höga risken för de registrerades rättigheter och friheter som avses i punkt 1 inte längre sannolikt kommer att förverkligas.
- c) Det skulle innebära oproportionerligt stora ansträngningar. I sådant fall ska det istället finnas en offentlig kommunikation eller liknande åtgärd varigenom de registrerade informeras på ett lika effektivt sätt.
- Om den personuppgiftsansvarige inte redan har meddelat den registrerade personuppgiftsintrånget kan kommissionären, efter att ha övervägt sannolikheten för att personuppgiftsintrånget skulle resultera i en hög risk, kräva att denne gör det eller besluta att något av de villkor som hänvisas till i punkt 3 är uppfyllda.
Begär offert
GDPR Artikel 34 gör det klart att inte alla överträdelser måste meddelas registrerade. Organisationer bör dock meddela detaljerna om ett överträdelse när det sannolikt kommer att leda till en hög risk för fysiska personers rättigheter och friheter.
I artikel 34 beskrivs tre huvudområden att fokusera på när ett dataintrång kommuniceras:
Kontrollanter är inte skyldiga att meddela ett intrång under följande tre scenarier:
I det här avsnittet talar vi om GDPR artiklarna 34 (1), 34 (2), 34 (3) (a), 34 (3) (b), 34 (3) (c) och 34 (4)
För att skapa en sammanhållen, välfungerande incidenthanteringspolicy som säkerställer tillgängligheten och integriteten för integritetsinformation under kritiska incidenter, bör organisationer:
Personal som är involverad i incidenter med integritetsinformationssäkerhet bör förstå:
När personalen hanterar säkerhetshändelser för integritetsinformation bör personalen:
Rapporteringsaktiviteter bör centreras kring fyra nyckelområden:
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
I det här avsnittet talar vi om GDPR-artiklarna 34 (2) och 34 (1)
Organisationer bör se till att incidenter med integritetsinformationssäkerhet hanteras av ett dedikerat tekniskt team med kompetens och resurser för att påverka en snabb lösning (se ISO 27002 Kontroll 5.24).
Organisationer bör:
GDPR-artikel | ISO 27701 klausul | ISO 27002 kontroller |
---|---|---|
EU GDPR artiklarna 34 (1) till 34 (4) | ISO 27701 6.13.1.1 | 5.25 5.26 5.5 5.6 6.8 8.15 8.16 |
EU GDPR artiklarna 34 (2) och 34 (1) | ISO 27701 6.13.1.5 | 5.24 5.27 5.28 5.29 5.30 |
Tack vare inbyggd vägledning och vår implementeringsmetod "Adoptera, anpassa, lägg till" gör ISMS.online att demonstrera GDPR-efterlevnad till en lek. En rad kraftfulla tidsbesparande funktioner kommer också att vara tillgängliga för dig.
Med vår intuitiva plattform kan du uppnå flera informationssäkerhets- och integritetsmål genom att kartlägga ditt arbete över flera standarder och ramverk.
Om du behöver hjälp eller råd under din resa mot GDPR kan vi göra vårt team av interna experter tillgängliga eller rekommendera en pålitlig partner som kan hjälpa till.
Ta reda på mer av boka en demo.
Jag har gjort ISO 27001 den hårda vägen så jag värdesätter verkligen hur mycket tid det sparade oss på att uppnå ISO 27001-certifiering.