菜单

打电话给我们 03450 21 21 51

想知道DPA和GDPR重叠的地方吗?雅虎! ico裁决可以提供一些清晰度
SRM.博客

想知道DPA和GDPR重叠的地方吗?雅虎! ico裁决可以提供一些清晰度

分享这篇文章

最近通过信息专员办事处调查(ICO)突出了目前系统的一个有趣方面。虽然裁决了对雅虎!被宣布为12TH. 2018年6月,在颁布一般数据保护条例(GDPR)后三周,该事件被审议于1998年的“数据保护法”。这是因为违反2014年11月的违规行为,尽管它在2016年9月之前没有公开披露,攻击差不多两年损害了515,121账户。在DPA下调查,罚款是适度的250,000英镑。如果在GDPR下判断,这将是明显的更大。

然而,这确实意味着今天的组织可以从气体中脱掉脚。在调查时,虽然它被认为是DPA,但ICO仍然希望看到坚持GDPR前进。

这不是SRM团队的“新”新闻。我们预期了这个问题,并向ICO以前提交了这个问题:

如果25之前发生了违规行为TH. 可能但未发现,直到GPR生效后,将在DPA 1998(发生时)或在GDPR(发现)下进行违规行为(发现)?

我们收到了ICO的回复:

在这种情况下,在这种情况下,违约将在DPA下进行评估,在违约时的立法。但是,我们希望在发现违约时的信息处理是符合GDPR的信息。因此,由于违规行为所吸取的任何教训或采取的行动需要符合GDPR。 

那么这术语更简单的意思是什么?这意味着从25开始TH. 2018年5月,组织网络和基础设施的各个方面都必须按照GDPR的要求进行管理。这也适用于根据“旧数据保护法”(1998年)规则判断实际违规行为。

最重要的一点是,必须在没有过度延迟的情况下向ico报告一个通知的违规行为,但在意识到它后不迟于72小时。因此,即使在25之前实际发生了违规行为TH. 一旦发现违约,必须遵守新的3天报告时间表。然后,组织的系统将通过GDPR的棱镜进行审查。

如果不可能在72小时内获得所有必要的信息,只要进行调查作为优先级,就可以在阶段提供所需信息。当组织意识到它时,仍然需要向ICO报告违规行为,并且他们必须尽快提交任何进一步的信息。

拥有保留的取证啮合,使整个过程更有效。他们不仅有一个关于组织的系统和网络的详细了解,他们将有助于建立违约通知协议和缓解策略;所有这些都将符合GDPR的要求。

有关GDPR的更多信息,请参阅我们的 网站.

要了解有关保留的取证的更多信息,请注册SRM的免费网络研讨会: 事件响应&法医专长:您的业务是否会在网络攻击或安全漏洞中存活?

或阅读我们的博客:

GDP.合规性谬误

GDP.的关键是常识