强制性违规通知–您准备好了吗?

*更新于2018年10月30日。

克里斯蒂娜·奥诺斯(Cristina Onos)é,CMA政府关系总监

It’自将违规通知要求纳入加拿大以来已经三年了’的隐私法。的修订 个人信息和电子文件法 (PIPEDA)在2015年由《数字隐私法案》提供,要求政府制定违规规定,以确保组织报告被认为构成了“重大伤害风险”对个人和隐私保护专员。法律将强制性违规报告规定包括在内的情况在很大程度上受到加拿大企业的支持。

规定 自2018年11月1日起生效。最终法规与去年发布的法规草案没有实质性区别,但确实包含许多修订,这些修订通常为组织提供了更大的灵活性。遇到数据泄露的组织—该法令中称为“违反安全保障措施” —将被要求:

  • 确定违规是否构成“重大伤害的真实风险”对于任何信息涉及违规的个人(“affected individuals”)进行风险评估。风险评估必须考虑所涉及信息的敏感性以及信息被滥用的可能性;
  • Notify 受影响的个人 and report to the 隐私Commissioner of Canada as soon as feasible, if the breach poses a 重大伤害的真实风险;
  • Notify any other organization that may be able to mitigate harm to 受影响的个人;
  • 保留您知道的任何数据泄露记录,并应要求将其提供给专员。

什么是危害风险?

术语“significant harm”包括广泛的危害,包括:人身伤害,财务损失,身份盗窃,对信用记录的负面影响,侮辱,声誉或人际关系受损,就业,商业或专业机会丧失以及财产损失或财产损失。

The factors that are relevant to determining whether a 违反安全保障措施 creates a 重大伤害的真实风险 to the individual include:

  • 涉及违规的个人信息的敏感性;和
  • 个人信息被,正在或将被滥用的可能性。

通知专员

该条例列出了必须向专员提交的报告中必须包括的信息类别:

  • 违反情况的描述;
  • 违反发生的日期/期间;
  • 违反个人信息的描述;
  • 受影响的人数;
  • 为减少可能因违反而造成伤害的风险而采取的步骤;
  • 通知个人采取的步骤;和
  • 能回答专员的人的姓名和联系方式’s questions.

可以将数据泄露报告与当时组织可获得的最佳信息一起提交给专员。这样,即使尚未提供所有信息,组织也可以在适当的时间范围内报告违规情况。随着更多信息的获得,组织可以在以后的日期向专员提供更新。

Notifying 受影响的个人

The following information must be contained in a notification to 受影响的个人 (additional information can be included as determined by the organization):

  • A 违反情况的描述;
  • 违反发生的日期/期间;
  • 违反行为的个人信息的描述;
  • 组织已采取的措施,以减少违规行为对受影响的个人造成伤害的风险或减轻这种伤害;
  • 受影响的个人可以采取的措施,以减少违反行为所造成的伤害风险或减轻这种伤害;和
  • 受影响的个人可以用来获取有关该违规行为的更多信息的联系信息。

条例认识到,视情况而定,可以直接或间接通知个人。尽管组织在大多数情况下应尝试直接通知消费者,但在某些情况下,对于受违规行为影响的所有个人而言,直接通知消费者可能是不可能或不可行的,或者可能对受影响的个人造成进一步伤害。

您还需要做什么?

除了通知要求之外,组织还负有在数据泄露记录中维护足够信息的义务,以证明他们正在跟踪导致个人信息泄露的数据安全事件。

此要求没有实质性阈值,这意味着所有违反个人信息的行为都要求保留该记录。对于许多企业而言,这一新要求可能很困难。

组织必须保留这些数据泄露记录至少24 个月。这是最低要求,以便组织可以将记录保留更长的时间,以满足其他义务和业务要求。

执法与处罚

为了执行这些新的违规报告和记录保留要求,PIPEDA现在包括了经济处罚。具体来说,如果组织故意违反上述任何一项要求,将面临最高100,000加元的罚款。

合规准则

隐私专员’s office has released breach guidance to help organizations comply. The guidelines clarify reporting responsibilities and offer guidance on determining 重大伤害风险 that would lead to notification to individuals and to the Commissioner.

见指导 :关于强制报告违反安全保护措施的必要信息

 

 

 

告诉我们你的想法
  1. 如果您之前未在此处发表评论,则可能需要先获得CMA批准,然后您的评论才会出现。在此之前,它不会出现在条目中。
    感谢您的等待。查看CMA的 博客政策.