Thông báo vi phạm dữ liệu theo GDPR

Tìm hiểu cách Microsoft phát hiện và ứng phó với vi phạm dữ liệu cá nhân và thông báo cho bạn theo GDPR.

GDPR ủy nhiệm các yêu cầu thông báo cho bên kiểm soát và bên xử lý dữ liệu trong trường hợp xảy ra vi phạm dữ liệu cá nhân. Thông tin dưới đây thảo luận về những điều khoản đó, cách Microsoft tìm cách ngăn các vi phạm ở nơi bắt nguồn, cách Microsoft phát hiện vi phạm cũng như cách Microsoft sẽ ứng phó trong trường hợp xảy ra vi phạm và thông báo cho bạn vì bạn là bên kiểm soát dữ liệu.


Tài liệu về vi phạm dữ liệu dành cho Dịch vụ Trực tuyến

Dynamics 365

Dịch vụ Chuyên nghiệp của Microsoft

Công cụ quản trị

Đặt liên hệ quyền riêng tư cho tổ chức của bạn. Người quản trị đối tượng thuê có thể sử dụng Cổng thông tin Quản trị Azure Active Directory để xác định liên hệ quyền riêng tư cho tổ chức, phòng trường hợp Microsoft cần liên lạc với họ.

Câu hỏi thường gặp về thông báo vi phạm

Dưới đây là các câu hỏi và câu trả lời quan trọng về thông báo vi phạm:
|

Dữ liệu cá nhân là mọi dữ liệu liên quan tới một cá nhân, có thể được sử dụng để xác định họ theo cách trực tiếp hoặc gián tiếp. Một vi phạm dữ liệu cá nhân là “một vi phạm về bảo mật dẫn tới hậu quả do vô tình hoặc bất hợp pháp gây tổn hại, mất mát, thay đổi, tiết lộ trái phép hoặc truy nhập vào dữ liệu cá nhân được truyền, lưu trữ hoặc xử lý theo cách khác”.

Trong trường hợp xảy ra vi phạm dữ liệu cá nhân có khả năng gây rủi ro cao với các quyền và quyền tự do của cá nhân (như phân biệt đối xử, trộm cắp định danh, gian lận, tổn thất tài chính hoặc tổn hại tới danh tiếng), GDPR yêu cầu bạn:
  • Thông báo cho Cơ quan Bảo vệ Dữ liệu (DPA) phù hợp trong vòng 72 giờ kể từ khi bắt đầu biết tới vấn đề—ví dụ: sau khi Microsoft thông báo cho bạn. Nếu bạn không thông báo cho DPA trong khoảng thời gian đó, bạn sẽ cần phải giải thích lý do với DPA. Việc thông báo cho DPA này là bắt buộc, kể cả với trường hợp có khả năng gây rủi ro cho các cá nhân không có khả năng gặp rủi ro cao.
  • Thông báo cho chủ thể dữ liệu về vi phạm mà không được quá chậm trễ.
  • Ghi lại vi phạm bao gồm mô tả về bản chất của vi phạm—chẳng hạn như số lượng người bị ảnh hưởng, số lượng bản ghi dữ liệu bị ảnh hưởng, các hậu quả của vi phạm và mọi hành động khắc phục mà tổ chức của bạn đang đề xuất hoặc đã thực hiện.

Sau khi chúng tôi biết về vi phạm dữ liệu cá nhân, GDPR yêu cầu chúng tôi thông báo cho bạn mà không được quá chậm trễ. Trong trường hợp Microsoft là bên xử lý, nghĩa vụ của chúng tôi là phản ánh cả các yêu cầu GDPR và các điều khoản hợp đồng tiêu chuẩn, toàn cầu của mình. Chúng tôi xem xét mọi vi phạm dữ liệu cá nhân được xác nhận trong phạm vi; không có khả năng nào về ngưỡng nguy hiểm cả. Chúng tôi sẽ thông báo cho khách hàng của mình nếu Microsoft hoặc bất kỳ bên xử lý phụ nào của chúng tôi gặp phải vi phạm dữ liệu. Chúng tôi có sẵn các quy trình để nhanh chóng xác định và liên hệ với nhân viên gặp sự cố bảo mật mà bạn đã xác định trong tổ chức của mình. Ngoài ra, mọi bên xử lý phụ đều có nghĩa vụ theo hợp đồng phải báo cáo các vi phạm của riêng họ cho Microsoft, cũng như cung cấp các đảm bảo theo đúng mục đích của hợp đồng.

Toàn bộ dịch vụ và nhân viên của chúng tôi đều tuân theo các quy trình quản lý sự cố nội bộ nhằm đảm bảo chúng tôi thực hiện các biện pháp phòng ngừa thích hợp để tránh các vi phạm dữ liệu ở nơi bắt nguồn. Tuy nhiên, ngoài ra, Dịch vụ Trực tuyến luôn có sẵn các điều khiển bảo mật cụ thể trên nhiều nền tảng nhằm phát hiện các vi phạm dữ liệu trong những trường hợp hiếm xảy ra.

Nhằm hỗ trợ bạn trong trường hợp xảy ra vi phạm dữ liệu cá nhân, Microsoft đã:
  • Đào tạo các nhân viên bảo mật theo các quy trình cụ thể cần tuân theo.
  • Có sẵn các chính sách, quy trình và điều khiển nhằm đảm bảo Microsoft sẽ duy trì các bản ghi chi tiết. Hoạt động này bao gồm tài liệu nắm bắt các dữ kiện của sự cố, ảnh hưởng từ sự cố và hành động khắc phục, cũng như theo dõi và lưu trữ thông tin trong các hệ thống quản lý sự cố của chúng tôi.

Microsoft có sẵn các chính sách và quy trình để nhanh chóng thông báo cho bạn. Nhằm đáp ứng các yêu cầu về thông báo của bạn cũng như của DPA, chúng tôi sẽ cung cấp mô tả về quy trình chúng tôi đã sử dụng để xác định xem vi phạm dữ liệu cá nhân có xảy ra hay không, mô tả về bản chất vi phạm, cũng như mô tả về các biện pháp mà chúng tôi đã thực hiện nhằm giảm nhẹ vi phạm.