依据 GDPR 的数据泄露通知

了解 Microsoft 如何依据 GDPR 检测和回应个人数据泄露,并通知你。

如果发生个人数据泄露,GDPR 会向数据控制者和处理者授权通知要求。以下信息讨论了这些规定,包括 Microsoft 如何尝试从一开始就防止泄露、Microsoft 如何检测泄露以及 Microsoft 如何在发生泄露时做出回应并通知作为数据控制者的你。


Online Services 的数据泄露文档

Microsoft 专业服务

管理工具

设置组织的隐私联系人。如果 Microsoft 需要与组织的隐私联系人进行沟通,租户管理员可以使用 Azure Active Directory 管理门户来定义这些联系人。

泄露通知常见问题解答

以下为泄露通知的相关重要问答:
|

个人数据是指与个人有关的任何可用于直接或间接识别其身份的信息。个人数据泄露是指“因意外或非法破坏、丢失、更改、未经授权而披露或存取经传输、存储或以其他方式处理的个人数据而违反安全性的行为。”

如果发生个人数据泄露,可能会对个人的权利和自由造成高风险(例如歧视、身份盗用、欺诈、经济损失或名誉损失),GDPR 要求你必须:
  • 在得知数据泄露的 72 小时内,通知相应的数据保护机构 (DPA)。例如,在 Microsoft 通知你之后。如果未在该时间段内通知 DPA,则需要向 DPA 解释原因。即使个人遭受的风险不太可能导致高风险,你也需要通知 DPA。
  • 通知泄露的数据主体,不得无故延误。
  • 记录泄露情况,包括对泄露情况性质的描述(例如受影响的人数、受影响的数据记录数目、泄露的后果以及组织提出或采取的任何补救措施)。

在我们发现个人数据泄露后,GDPR 会要求我们通知你,不得无故延误。如果 Microsoft 是处理者,我们的义务既反映了 GDPR 要求,也反映了我们的标准(全球合约条款)。我们认为所有已确认的个人数据泄露都在我们的责任范围内;没有任何伤害风险门槛。无论数据泄露是直接发生于 Microsoft 还是我们的任何次要处理者,我们都会通知客户。我们已制定一套流程,能快速识别并联系组织所指定的安全性事件人员。此外,根据合约规定,所有次要处理者都有义务向 Microsoft 报告各自的泄露事件,并提供成效保证。

我们的所有服务和人员都遵守内部事件管理程序,以确保我们采取适当的预防措施,以便在一开始就避免数据泄露。不过除此之外,Online Services 拥有跨平台的既有特定安全性控制措施,可以检测罕见情况下发生的数据泄露。

为了在发生个人数据泄露时为你提供支持,Microsoft 已执行以下措施:
  • 针对需遵循的特定程序,对安全性人员进行相关培训。
  • 已制定相关策略、程序和控制措施,以确保 Microsoft 维护详细记录。这包括捕获事件事实、造成的影响和补救措施的文档,以及在事件管理系统中跟踪和存储信息的文档。

Microsoft 已制定相关策略和程序,以便及时通知你。为了满足你通知 DPA 的需求,我们会提供我们用来判断是否发生个人数据泄露的过程的描述、泄露性质的描述以及我们为减少泄露事件所采取的措施的描述。