EDPB الزامات اعلان نقض داده های شخصی را برای کنترل کنندگان غیر اتحادیه اروپا روشن می کند – حفاظت از داده ها

بر 28 مارس 2023، هیئت حفاظت از داده های اروپا (“EDPB“) دستورالعمل های به روز شده ای را در مورد ا،ام کنترل کنندگان مستقر غیر اتحادیه اروپا برای اطلاع مقامات نظارتی اتخاذ کرد (“بر“) به دنبال نقض داده های شخصی. ماده 4 (12) مقررات عمومی حفاظت از داده ها (“GDPR“) تصریح می کند که نقض داده های شخصی زم، رخ می دهد که وجود داشته باشد
“ت،یب تصادفی یا غیرقانونی، از دست دادن، تغییر، افشای غیرمجاز، یا دسترسی به داده های شخصی منتقل شده، ذخیره شده یا پردازش شده است.”

طبق ماده 33 (1) GDPR، کنترل‌کنندگان داده‌ها باید بدون تأخیر بی‌رویه، و در صورت امکان، حدا،ر 72 ساعت پس از اطلاع از نقض اطلاعات شخصی، به SA اطلاع دهند. علاوه بر این که کنترل‌کننده‌ها مجبور می‌شوند به SA ملی خود هشدار دهند، در صورت نقض فرامرزی، این موضوع نیز باید به SA هر کشور عضو اتحادیه اروپا که در آن افراد تحت تأثیر داده در آن ،ن هستند، اطلاع داده شود.

“فروشگاه یک مرحله ای” (“OSS“) سازوکار

EDPB در ت، برای مق، با بار اداری که کنترل‌کننده‌ها با چندین SA از کشورهای عضو اتحادیه اروپا مواجه می‌شوند، مک،سم OSS را معرفی کرد که دستورالعمل‌های آن در ابتدا توسط کارگروه ماده 29 ارائه شده بود (“WP29“) (سلف EDPB) در 13 دسامبر 2016.

مک،سم OSS به کنترل کننده ها این امکان را می دهد که فقط به SA سرب کشور عضوی که مؤسسه اصلی و نماینده آنها در آن واقع شده است اطلاع دهند. این بدان م،ی است که مسئولیت اجرا اساساً بر عهده رهبر SA است که پس از آن وظیفه تشدید نقض و هماهنگی با سایر SAهای مربوطه را بر عهده دارد.

دستورالعمل های به روز شده برای مؤسسات غیر اتحادیه اروپا

در 10 اکتبر 2022، EDPB مشاوره ای را برای بحث در مورد کاربرد مک،سم OSS و چگونگی شفاف سازی ا،ام اعلان در دستورالعمل ها برای مؤسسات غیر اتحادیه اروپا که، مطابق با ماده 27 (1) GDPR، دارای نماینده هستند، راه اندازی کرد. در اتحادیه اروپا

پس از مشورت، EDPB اکنون به تعهد اطلاع رس، برای مؤسسات غیر اتحادیه اروپا در پاراگراف 70-74 دستورالعمل های به روز پرداخته است. بند 73 آن را تأیید می کند “حضور صرف یک نماینده در یک کشور عضو باعث راه‌اندازی سیستم یک مرحله‌ای نمی‌شود. به همین دلیل، نقض باید به هر مرجع نظارتی که موضوع داده‌های تحت تاثیر آن در کشور عضو آنها ،ن هستند، اطلاع داده شود.” دستورالعمل های به روز شده EDPB به صراحت بیان می کند که تعهد به اطلاع رس، در دست کنترل کننده غیر اتحادیه اروپا باقی می ماند، که وضوح بسیار مورد نیاز را برای دستورالعمل های WP29 تأیید شده از قبل به ارمغان می آورد.

دستورالعمل به روز شده EDPB همچنین مشخص می کند که برای نهادهای غیرتاسیس اتحادیه اروپا، “وظیفه نماینده در اتحادیه با نقش یک DPO خارجی سازگار نیست”. در عمل این بدان م،ی است که اگرچه یک نماینده می تواند باشد گرفتار در فرآیند اطلاع رس، هنگامی که به صراحت در دستور کتبی نماینده تصریح شده باشد، “مسئولیت اطلاع رس، مطابق با ماده 27 (5) بر عهده کنترل کننده است.” GDPR

به طور کلی، نتیجه این دستورالعمل‌های بازنگری‌شده و به‌روزرس، شده این ایده را تأیید می‌کند که به دنبال نقض داده‌های شخصی، کنترل‌کننده‌های غیر اتحادیه اروپا که مشمول GDPR هستند باید با همه SAهای مربوطه به‌طور جداگانه برخورد کنند و مسئولیت‌های آنها نمی‌تواند به طور کامل به کشورشان واگذار شود. SA یا نماینده.

شاید تعجب آور نباشد که این امر منجر به انتقادات از سوی مؤسسات غیر اتحادیه اروپا شده است که اکنون به حال خود رها شده اند تا به چندین نهاد مختلف اتحادیه اروپا و مقامات ملی در بازه های زم، مربوطه پس از نقض داده های شخصی اطلاع دهند، با پشتیب، هماهنگی بسیار کمی که از طرف سازمان به آنها ارائه شده است. اتحادیه اروپا این امر به طور بالقوه می‌تواند مسئولیت ارسال حدا،ر ۲۷ اعلان‌های فردی را در زم، که نقض داده‌های شخصی منجر به آسیب فرامرزی به سوژه‌های داده در سراسر اتحادیه اروپا می‌شود، بر عهده مؤسسات غیر اتحادیه اروپا بگذارد.

دستورالعمل های به روز شده EDPB را پیدا کنید اینجا.

محتوای این مقاله به منظور ارائه راهنمای کلی در مورد موضوع است. باید در مورد شرایط خاص خود از یک متخصص مشاوره بگیرید.

پیامدهای سیاست داده بریت،ا پس از برگزیت

کاتن موچین روزنمن LLP

در مقاله ای که توسط Retail Risk منتشر شده است، سارا سیم،، یکی از همکاران ارشد مالکیت م،وی، لایحه پس از برگزیت را برجسته می کند که رژیم جدید حفاظت از داده های بریت،ا را پیشنهاد می کند.