DSGVO Artikel 33 befasst sich mit der Verpflichtung einer Organisation, die zuständige Rechts- oder Regulierungsbehörde zu benachrichtigen, wenn die Rechte und Freiheiten einer Person aufgrund ihrer Handlungen (oder der Handlungen eines mit ihnen verbundenen Dritten) als Datenverantwortlicher gefährdet sind.
Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde
- Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche die Verletzung des Schutzes personenbezogener Daten unverzüglich und, soweit möglich, spätestens 72 Stunden nach Kenntniserlangung der gemäß Artikel 55 zuständigen Aufsichtsbehörde melden, es sei denn, Es ist unwahrscheinlich, dass eine Verletzung des Schutzes personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht innerhalb von 72 Stunden, sind Gründe für die Verzögerung anzugeben.
- Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, nachdem er Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat.
- Die in Absatz 1 genannte Meldung muss mindestens Folgendes umfassen:
- Beschreiben Sie die Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, wenn möglich, der Kategorien und der ungefähren Anzahl der betroffenen betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen Datensätze personenbezogener Daten;
- Geben Sie den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle an, bei der weitere Informationen erhältlich sind.
- Beschreiben Sie die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten.
- Beschreiben Sie die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich gegebenenfalls Maßnahmen zur Abmilderung der möglichen nachteiligen Auswirkungen.
- Wo und soweit es nicht möglich ist, die Informationen gleichzeitig bereitzustellen, können die Informationen phasenweise ohne unangemessene weitere Verzögerung bereitgestellt werden.
- Der Verantwortliche muss alle Verstöße gegen den Schutz personenbezogener Daten dokumentieren, einschließlich der Tatsachen im Zusammenhang mit dem Verstoß gegen den Schutz personenbezogener Daten, seiner Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation soll es der Aufsichtsbehörde ermöglichen, die Einhaltung dieses Artikels zu überprüfen.
Benachrichtigung des Datenschutzbeauftragten über eine Verletzung des Schutzes personenbezogener Daten
- Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der für die Verarbeitung Verantwortliche unverzüglich und, soweit möglich, spätestens 72 Stunden, nachdem er davon Kenntnis erlangt hat, den Datenschutzbeauftragten über die Verletzung des Schutzes personenbezogener Daten informieren, es sei denn, die Verletzung des Schutzes personenbezogener Daten ist unwahrscheinlich eine Gefahr für die Rechte und Freiheiten natürlicher Personen darstellen. Erfolgt die Mitteilung gemäß diesem Absatz nicht innerhalb von 72 Stunden, sind ihr Gründe für die Verzögerung beizufügen.
- Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, nachdem er Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat.
- Die in Absatz 1 genannte Meldung muss mindestens Folgendes umfassen:
- Beschreiben Sie die Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, wenn möglich, der Kategorien und der ungefähren Anzahl der betroffenen betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen Datensätze personenbezogener Daten;
- Geben Sie den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle an, bei der weitere Informationen erhältlich sind.
- Beschreiben Sie die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten.
- Beschreiben Sie die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich gegebenenfalls Maßnahmen zur Abmilderung der möglichen nachteiligen Auswirkungen.
- Wo und soweit es nicht möglich ist, die Informationen gleichzeitig bereitzustellen, können die Informationen phasenweise ohne unangemessene weitere Verzögerung bereitgestellt werden.
- Der Verantwortliche muss alle Verstöße gegen den Schutz personenbezogener Daten dokumentieren, einschließlich der Tatsachen im Zusammenhang mit dem Verstoß gegen den Schutz personenbezogener Daten, seiner Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation soll es dem Kommissar ermöglichen, die Einhaltung dieses Artikels zu überprüfen.
Buchen Sie ein 30-minütiges Gespräch mit uns und wir zeigen Ihnen wie
Unternehmen müssen nicht nur alle Ereignisse im Zusammenhang mit einem Verstoß gründlich dokumentieren, sondern auch Überlegungen anstellen sechs maßgebende Faktoren bei der Reaktion auf eine Datenschutzverletzung:
Bei der Benachrichtigung der Aufsichtsbehörde müssen Organisationen Folgendes tun:
Um eine kohärente, gut funktionierende Vorfallmanagementrichtlinie zu erstellen, die die Verfügbarkeit und Integrität von Datenschutzinformationen bei kritischen Vorfällen schützt, sollten Organisationen:
Mitarbeiter, die an Vorfällen im Bereich Datenschutz und Informationssicherheit beteiligt sind, sollten Folgendes verstehen:
Beim Umgang mit Datenschutz- und Informationssicherheitsereignissen sollten Mitarbeiter:
Die Berichtsaktivitäten sollten sich auf vier Schlüsselbereiche konzentrieren:
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Organisationen sollten sicherstellen, dass Vorfälle im Bereich Datenschutz und Informationssicherheit von einem speziellen technischen Team behandelt werden, das über die Fähigkeiten und Ressourcen verfügt, um eine schnelle Lösung herbeizuführen (siehe ISO 27002 Control 5.24).
Organisationen sollten:
DSGVO-Artikel | ISO 27701-Klausel | ISO 27002-Kontrollen |
---|---|---|
EU-DSGVO Artikel 34 (1), 34 (2), 34 (3)(a), 34 (3)(b), 34 (3)(c) und 34 (4) | ISO 27701 6.13.1.1 | ISO 27002 5.25 ISO 27002 5.26 ISO 27002 5.5 ISO 27002 5.6 ISO 27002 6.8 ISO 27002 8.15 ISO 27002 8.16 |
EU-DSGVO Artikel 34 (1) und 34 (2) | ISO 27701 6.13.1.5 | ISO 27002 5.24 ISO 27002 5.27 ISO 27002 5.28 ISO 27002 5.29 ISO 27002 5.30 |
Ein Verstoß gegen die DSGVO kann zu erheblichen Bußgeldern führen, was sie zu einer der strengsten Datenschutz- und Sicherheitsvorschriften der Welt macht. Dies impliziert, dass Organisationen personenbezogene Daten in einem „angemessenen“ Umfang schützen müssen.
Aber hier ist die gute Nachricht.
ISMS.online ist an einem sicheren, ständig verfügbaren Ort und erleichtert Ihnen den direkten Einstieg in die DSGVO-Konformität und den Nachweis eines Schutzniveaus, das über das „angemessene“ hinausgeht.
Wir machen die Datenzuordnung zu einer einfachen Aufgabe. Indem Sie die Details Ihrer Organisation zu unserem vorkonfigurierten dynamischen Tool zur Aufzeichnung von Verarbeitungsaktivitäten hinzufügen, können Sie alles ganz einfach aufzeichnen und überprüfen.
Wenn das Schlimmste passiert, sind Sie bereit.
Mit unseren Tools können Sie jeden Verstoß planen, kommunizieren, dokumentieren und daraus lernen.
Erfahren Sie mehr von Buchen Sie eine kurze 30-minütige Demo.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Wir sind kostengünstig und schnell