广州
  • 广州
  • 上海
  • 东莞
  • 佛山
  • 珠海
  • 中山
  • 江门
  • 阳西
  • 阳春
  • 阳江

工商客户专业服务热线 020-96917

工业客户专业服务热线 021-58582500

工商客户专业服务热线 0769-27281717

工商客户专业服务热线 0757-96917

工商客户专业服务热线 0756-96959

工商客户服务热线 0760-96917

工商客户专业服务热线 0750-96959

商业客户专业服务热线 0662-5558800

商业客户专业服务热线 0662-7717177

商业客户专业服务热线 0662-6628222

数据泄露处理政策
2019-09-17124次浏览


SHV能源

防止数据泄露政策

 

 

 

文中的流程信息将为SHV能源及其业务单位的《数据泄露通知政策》提供支持

 

 


 



1.  引言

GDPR和《SHV隐私守则》规定,我们需要在发现个人数据泄露的某些情形后72个小时内向监管部门报告。

本文件描述了SHV控股、SHV能源及其业务单位内各利益相关方的角色和职责以及需要遵循的步骤。  
该流程将指引您调查和评估对受影响个人的影响(如有),以及是否必须通知这些人和/或相应的监管部门。

 

2.  主要定义

BU隐私官”:业务单位(BU)BU团队内部的角色,负责协调该BUBU团队的隐私工作。   数据泄露”:导致所传输、存储或以其他方式处理的个人数据遭到意外或非法破坏、丢失、修改、未经授权披露或访问的安全违规。 

 但如有以下情形,SHV实体或第三方处理者的员工或者二者各自授权的个人无意获取、访问或使用未加密的个人数据不视为发生数据泄露:  

(i) 获取、访问和使用个人数据出于善意,是在该员工或其他个人的劳动或职业关系过程中发生,并由此种关系涵盖;以及   

(ii) 任何人不会进一步获取、访问、使用或披露相关个人数据。

 

“数据泄露响应团队”:参与BU、SHV能源或SHV控股关键决策过程的人员。

“集团DPO”:SHV能源的数据保护官(DPO)。

“个人数据”:身份确定或可识别的自然人(“数据主体”或“个人”)的有关信息。

“监管部门”:根据相应(数据保护)法律法规,必须就数据泄露予以通知的相关数据保护部门。

“安全事件”:一个或多个有害或意外的事件(系统、服务、网络状态、状况或事故),可能危及到信息安全并削弱或影响业务经营,从而导致安全违规。

“风险标志”:OneTrust系统(提交隐私表单的平台)内的自动化消息,可在完成《数据泄露输入表》和《数据泄露评估表》后,为如何遵循“数据泄露通知流程》提供指引和指示。


3.流程描述

  业务单位

1.0 发生安全事件:通知信息安全官

负责人:事件创建人
请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情


发生安全事件时,事件创建人将立即通知BU信息安全官。

 

1。1 - IT支持系统中创建事件票证

负责人:BU信息安全官
请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。

发生安全事件后,BU信息安全官应在收到通知时立即在IT支持系统内创建安全事件。

 

2.0 是否涉及个人数据?

负责人:BU信息安全官。

请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。

 

安全事件是否包含个人数据?

Ø  如果是:72个小时开始
前往OneTrust中的4.0创建数据泄露输入表

Ø  如果否:前往3.0标准IT支持事件管理流程

3。0 标准IT支持事件管理流程

负责人:BU信息安全官
请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。

 

安全事件已经发生。但是,(视为)不涉及个人数据,因此可以遵循标准IT支持流程。
à从隐私角度结束数据泄露通知流程。要求BU信息安全官进一步遵循SHVE安全事件响应流程。


SHV能源集团

4.0 - OneTrust中填写数据泄漏输入表

负责人:集团信息安全官
请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。

 

发生安全事件后,如果BU信息安全官表明可能发生数据泄露,集团信息安全官必须在OneTrust中填写《数据泄露输入表》。相关问卷包含在《附录B》中。

 

5.0 上报到SHV控股、下发到BU或同级单位?

负责人:集团DPO
请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。


集团DPO需要决定处理数据泄露的级别:

Ø  上报

通过OneTrustSHV CPO提交《数据泄露输入表》。
前往6.0审查《数据泄露输入表》

Ø  下发
前往7.2开始在OneTrust中填写《数据泄露评估表》

Ø  留在SHV能源集团
前往7。0开始在OneTrust中填写《数据泄露评估表》

Ø  关闭
记录决定

基于《数据泄露输入表》中的答复,OneTrust系统将启动风险标志来表明数据泄露的严重程度。需要决定时可使用这些标志。我们还可在决定时核查为(潜在的)数据泄露中的流程、系统或资产开展的(D)PIA属于哪个级别,因为这将表明相关流程、系统或资产的负责人。

 

上报到SHV控股的示例

事件涉及多个团队的数据

事件涉及黑客

事件涉及赎金

事件暴露的个人数据可能给团队或SHV控股造成(重大)财务风险、声誉损害或其他危害。例如,事件可能影响媒体、客户、股东和/或监管者的认知。

事件暴露的个人数据可能给个人造成重大财务风险、声誉风险或其他危害。

 

下发到BU的示例

只影响一个国家/地区当地流程的事件

6.0 - 审查《数据泄露输入表》

负责人:SHV CPO

请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。

 

SHV CPO将审查数据泄露。基于对《数据泄露输入表》的审查,SHV CPO可要求或提供关于数据泄露的进一步说明,然后前往6.1



7.0
OneTrust中填写《数据泄露评估表》


负责人:集团DPO
请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。


集团DPO必须开始在OneTrust中填写《数据泄露评估表》。该评估将有助于随后的决策(步骤8.010.0)。

 

8。0 决定是否通知监管部门?

负责人:集团DPO
请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。


集团DPO必须决定是否需要通知监管部门。更多信息包含在《附录D》中。

 

Ø  如果是:前往9.0通知监管部门

Ø  如果否:前往12.0执行根本原因分析

9。0 通知监管部门

负责人:集团DPO
请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。

 

还应当注意,在向监管部门通知数据泄露时,GDPR33(3)(b)条要求控制者提供其DPO的姓名和联系方式。

 

如果决定通知监管部门,集团DPO将确保采取必要的措施(请参见《附录D》了解详情)。请注意,DPO集团可要求BU隐私官通知监管部门。



10。0通知数据主体/个人的决定

负责人:集团DPO
请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。


集团DPO与集团数据泄露响应团队必须决定是否应当通知数据主体和/或个人。

 

Ø  如果是:前往11.0通知数据主体/个人

Ø  如果否:前往12。0执行根本原因分析

 

11.0 通知数据主体/个人流程

负责人:集团DPO

请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。


如果决定通知数据主体/个人,集团数据泄露响应团队将完成沟通的相应步骤(请参见《附录D》了解详情)。

 

12。0 - 根本原因分析

负责人:集团信息安全经理
请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。

 

《数据泄露评估表》的最后步骤是提供补救/根据原因分析详情,为关闭安全事件提供支持。

  
 
 

业务单位

7.2 开始在OneTrust中填写《数据泄露评估表》

负责人:BU隐私官

请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。

 

该评估将有助于随后的决策(步骤8.210.2)。

 

请参见《附录C》了解OneTrust《数据泄露评估表》详情

 

8.2 决定是否通知监管部门?

负责人BU隐私官
请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。

在与集团DPO深入讨论后,BU隐私官必须决定是否需要通知监管部门。更多信息包含在《附录D》中。

 

Ø  如果是:前往9.2通知监管部门

Ø  如果否:前往12.2执行根本原因分析

 

9.2 通知监管部门

负责人:BU隐私官

请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。

 

还应当注意,在向监管部门通知数据泄露时,GDPR33(3)(b)条建议提供其DPO的姓名和联系方式。

 

如果决定通知监管部门,BU隐私官将确保采取必要的措施(请参见《附录D》了解详情)。



10.2通知数据主体/个人的决定

负责人:BU隐私官
请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。

BU
数据泄露响应团队必须决定是否应当通知数据主体和/或个人。

 

Ø  如果是:前往11。2通知数据主体/个人

Ø  如果否:前往12.2执行根本原因分析

 

 

11。2 通知数据主体/个人流程

负责人:BU隐私官

请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。


如果决定通知数据主体/个人,BU数据泄露响应团队将完成沟通的相应步骤(请参见《附录D》了解详情)。

 

12。2 - 根本原因分析

负责人:BU信息安全官

请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。

 

《数据泄露评估表》的最后步骤是提供补救/根据原因分析详情,为关闭安全事件提供支持。


 

SHV控股


6。0 - 审查《数据泄露输入表》

负责人:SHV CPO

请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。

 

SHV CPO将审查数据泄露。基于对《数据泄露输入表》的审查,SHV CPO可要求或提供关于数据泄露的进一步说明。然后前往6.1

 

6。1 SHV CPO下发到集团?

负责人:SHV CPO
请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。

 

在深入讨论后,SHV CPO将决定把处理数据泄露从SHV控股(CPO)发回集团。

 

Ø  如果是:前往7。0
SHV CPO开始在OneTrust中填写《数据泄露评估表》

Ø  如果否:前往7.1
集团DPO开始在OneTrust中填写《数据泄露评估表》

 

7.1 开始在OneTrust中填写《数据泄露评估表》

负责人:SHV CPO
请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。

 

SHV CPO将开始填写《数据泄露评估表》。该评估将有助于随后的决策(步骤8.110.1)。

 

8.1 决定是否通知监管部门?

负责人:SHV CPO
请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。

 

在深入讨论后,SHV CPO必须决定是否需要通知监管部门。

 

Ø  如果是:前往9。1通知监管部门

Ø  如果否:前往12。1执行根本原因分析

.9.1 通知监管部门

负责人:SHV CPO
请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。

 

还应当注意,在向监管部门通知数据泄露时,GDPR33(3)(b)条建议提供其集团DPO的姓名和联系方式。

 

如果决定通知监管部门,SHV CPO将采取必要措施。请注意,SHV CPO可要求集团通知监管部门。

 

 

10.1 通知数据主体/个人的决定

负责人:SHV CPO
请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。

 

SHV数据泄露响应团队(在SHV企业隐私官的领导下)必须决定是否应当通知数据主体/个人。

 

Ø  如果是:前往11.1通知数据主体/个人

Ø  如果否:前往12。1执行根本原因分析

 

 

 11。1 - 通知数据主体/个人流

负责人:SHV CPO
请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。

 

如果决定通知数据主体/个人,BU数据泄露响应团队将完成沟通的相应步骤。

 

在这一步中,集团DPO将在《数据安全泄露登记册》中记录该事件。SHV CPO将提供记录需要的信息。

 

12。1 - 根本原因分析

负责人:SHV CPO
请参见RACI表《附录A》了解关于流程步骤责任人、咨询人和知情人的详情。

 

《数据泄露评估表》的最后步骤是提供补救/根据原因分析详情,为关闭安全事件提供支持。

 

 

4。报告

(潜在的)数据泄露的大部分信息需要在OneTrust中记录。随后,集团DPO将在《SHV能源数据安全泄露登记册》中记录各事件。为使记录完整、准确,要求所有相关当事人提供影响SHV能源的(潜在的)数据泄露信息。

 
 
 

附录D:通知主管部门和数据主体

向主管部门报告数据泄露的时间


发生个人数据泄露事件时,我们需要确定由此给人们的权利和自由带来风险的可能性和严重程度。如果有可能带来风险,我们必须通知监管部门。如果不太可能带来风险,我们无须报告。所有情况均需要我们能够证明决定合情合理。因此,集团DPO将根据BU隐私官提供的信息记录此类决定。 

 

以下是可以使用的指引文件:     


需要报告的信息


报告泄露时,GDPR表明您必须:

 

  • 说明个人数据泄露的性质,(在可能的情况下)包括:说明相关个人的类别和大概人数;以及

  • 说明相关个人数据记录的类别和大概数量;

  • 提供数据保护官的姓名和联系方式以及可获得更多信息的联系点(如适用)(例如BU隐私官);

  • 说明个人数据泄露可能的后果;以及

  • 说明为处理个人数据泄露而采取或拟采取的措施,包括(适当时)旨在减轻可能的不利影响的措施。

     

为获取相关信息,我们需要使用以下文档来报告数据泄露:

 

通知数据主体的时间


如果泄露可能给人们的权利和自由带来较高的风险,我们必须立即直接通知相关的人员。“较高的风险”是指通知相关个人比通知主管部门的门槛更高。我们需要评估泄露实际或可能给个人造成的影响的严重程度以及出现此种情况的可能性。如果泄露的影响更为严重,则风险更高;如果后果的可能性更大,则风险同样更高。通知个人的主要原因之一是,帮助其采取措施,免受泄露的影响。

 

我们必须向数据主体提供的信息

 

我们需要用简单明了的语言说明个人数据泄露的性质,并至少:

 

  • 提供您的数据保护官(如果您的组织设有该职位)的姓名和联系方式,以及可获得更多信息的其他联系点(如适用)(例如BU隐私官);

  • 说明个人数据泄露可能的后果;以及

  • 说明为处理个人数据泄露而采取或拟采取的措施,并包括(适当时)旨在减轻可能的不利影响的措施。

     

更多相关新闻
需要我们的帮助,请与我们联系为您提供专业的分析与建议
联系邮箱joyceliu@canyouhike.com
行业专家 joyce139 0305 0625星期一至星期五,9:00 - 18:00

工业解决方案

喜威中国受邀参加财富论坛

亿人彩票平台 易投彩票平台 顶瓜刮彩票平台 彩票平台009 壹玖玖彩票平台 金丰彩票平台 壹玖玖彩票平台 七星彩票平台 必威彩票平台 第1彩票平台