记录您的违规行为:为联邦隐私专员准备违规纪录检验

最近的宣言,加拿大隐私专员办公室副专员(遵守)(“专员“)他指出,他的办公室今年夏天将进行违规纪录检验。五到八个企业将受到记录检查的约束。副委员称,检查将在加拿大,但在一个部门,虽然没有命名该部门。 

在下面 个人信息保护和电子文件法 (“皮皮达“),组织必须”维护涉及其控制下的个人信息的每一个安全保障措施的记录“。 “违反安全保障”是指因违反安全保障或未能建立安全保障而导致的任何“失去的,未经授权的访问或未经授权的个人信息披露”。组织需要记录每个违反安全保障的记录,无论违反所涉及的个人信息的范围或涉及的个人信息的敏感性。即使组织决定违约所产生的“真正的危害风险”(真实)危害危害的风险是致力于向专员报告的义务,并通知受影响的个人,并且可能是某些第三方通知。组织也需要“向委员会访问或副本提供记录副本”请求(Pipeda的第10.3节)。记录保留期为两年,记录必须包括“任何使专员能够转发的信息依赖遵守“与Pipeda的强制性违规通知规定(第6条) 违反安全保障条例)。故意违反强制性违规通知条款是违法行为,罚款高达10万美元。

  

如何准备

为准备违规记录检查,我们建议组织采取以下步骤:

  1. 验证您的组织是否正在保留每个实际或潜在违反安全保障保障的记录,包括:
    1. 包含您必须在向委员会的报告中包含的所有内容的记录让您的组织报告了违规行为(如在 违反安全保障条例);和
    2. 您的框架,用于评估违反安全保障的违规导致受影响个人危害的真正风险,包括您确定为什么的基础 没有必要报告违约(即,在您的结论是,在您认为,在这种情况下,您并不相信违规行为对受影响的个人产生重大危害的真正风险)。
  2. 审核您的违规记录以验证它们是否包括所需的所有信息 违反安全保障条例.
  3. 考虑到您的隐私/合规部门调查的安全保障措施有多少潜力。如果数字低,或零,则调查漏洞是否未报告。常见的违规包括丢失或被盗设备(电话,笔记本电脑,硬盘等),误导的电子邮件和网络钓鱼尝试。一个违反违规通知的挑战是员工并不总是知道他们必须报告违规行为。另一个问题是,许多安全团队将违反安全保障的违约违反安全问题,并且未能升级为法律或多学科事故响应团队的其他成员。因此,您的事故响应计划包括适当的员工培训和清除事件响应和升级指南是至关重要的。

Auteurs