【预警资讯】
当地时间2022年11月28日,爱尔兰数据保护委员会(Data Protection Commission,DPC)以违反欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)两项条款为由,对某美国公司处以2.65亿欧元罚款。据调查,该公司收集的个人数据库已于互联网上公开,DPC根据GDPR第25条审查了公司技术和管理措施的实施情况,并要求公司采取补救措施以保证处理个人信息的合规性。(资讯来源:爱尔兰数据保护委员会)
【预警提示】
建议企业从“技术+管理”两个维度开展个人信息安全与保障工作。其一,关于个人信息本身的技术安全管理,企业应当对个人信息进行分类分级标识与隔离,传输与存储加密,彻底删除与匿名化,备份与恢复等,落实个人信息合规处理的技术要求。其二,关于个人信息的管理运用,企业需要借力IT和信息化工具,实现访问权限分级设置与身份验证、访问操作事件记录、业务审批流程信息化建设、网络物理环境安全、网络攻击处置与应急等技术安全保障。企业还应当建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失、篡改。个人信息处理者需合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训。
[ 期号:20221128-20221204]
附件下载:
粤公网安备 44030402002963号