有关涉及个人信息的违约通知的规定应构成组织与客户之间的合同的一部分。合同应规定组织将如何提供客户履行通知有关当局的义务所需的信息。此通知义务并不适用于由客户或个人信息主体或其负责的系统组件造成的违约。合同还应该为通知响应时间定义预期的和外部强制的限制。
在某些司法管辖区,个人信息处理者应立即通知个人信息控制者存在违规行为(即尽快),Z好是在发现后立即通知,以便个人信息控制者采取适当的行动。
如发生涉及个人信息的违例事项,应备存纪录,并提供足够资料,以提供报告作规管及/或法证用途,例如:
——事件的描述;
——时间;
——事件的后果;
——报告人的姓名;
——事件向谁报告;
为解决事件所采取的步骤(包括负责人和恢复的数据);该事件导致个人信息不可用、丢失、泄露或变更的事实。
在涉及个人信息的违约事件发生时,如果已知,该记录还应包括有关已受损害的个人信息的描述;如果执行了通知,则采取措施通知客户和/或监管机构。
在某些司法管辖区,适用的立法和/或法规可要求组织就涉及个人信息的违规行为直接通知适当的监管当局。
通过建立制度完善信息安全相关法律法规收集和识别的要求,并在各项规章制度中体现相应要求并开展培训,使员工明确相关法律法规要求并遵照执行。
1.组织应查明与个人信息处理有关的任何可能的法律制裁;
2.组织应按其保留计划规定的期限保留其隐私政策和相关程序的副本。这包括这些文档更新时保留以前的版本;
3.组织作为个人信息处理者,和个人客户审计是不切实际的或可以增加安全风险,组织应提供给客户,在进入之前,能有独立的证据表明,信息安全实现和运营符合组织的政策和程序。组织所选择的相关的独立审计,如果满足了预期用户的需求,并且结果以足够透明的方式提供,通常应该是一种可接受的方法,以满足客户对组织的处理操作进行审查的兴趣。
4.作为安全策略和标准遵从性的技术审查的一部分,组织应该包括审查与处理个人信息相关的工具和组件的方法。这可以包括:
——不断监测,以核实只进行获准的处理;和/或
——特定的渗透或漏洞测试(例如,已解除识别的数据集可以进行有动机的入侵者测试,以验证解除识别方法是否符合组织需求)。
1. 应查明与PII处理有关的任何可能的法律制裁
2. 组织应按其保留计划规定的期限保留其隐私政策和相关程序的副本。这包括这些文档更新时保留以前的版本;
3. 组织作为个人信息处理者,和个人客户审计是不切实际的或可以增加安全风险,组织应提供给客户,在进入之前,能有独立的证据表明,信息安全实现和运营符合组织的政策和程序。组织所选择的相关的独立审计,如果满足了预期用户的需求,并且结果以足够透明的方式提供,通常应该是一种可接受的方法,以满足客户对组织的处理操作进行审查的兴趣。
4. 作为安全策略和标准遵从性的技术审查的一部分,组织应该包括审查与处理PII相关的工具和组件的方法。这可以包括:
——不断监测,以核实只进行获准的处理;和/或
——特定的渗透或漏洞测试
