加拿大隐私专员办公室（以下简称"OPC"）正在征求公众对其新指南（"指南"）的意见，该指南旨在帮助组织强制报告个人数据违规行为，该指南将于2018年11月1日在加拿大生效。根据《个人信息保护和电子文件法》（"PIPEDA"）和违反安全保障条例的规定，组织（无论大小）都将被要求：向OPC报告对个人造成重大伤害的实际风险的个人数据泄露通知受影响的个人这些违规行为通知其他组织违规行为（如适用）记录所有违规行为新的OPC指南概述了组织需要了解的这些义务。我们总结出了关键的收获：谁必须报告数据泄露？新的违约相关义务适用于每一个组织，无论其规模大小，都受到PIPEDA的约束，并且遇到涉及"在其控制下"的个人信息的违规行为。这还包括组织向第三方供应商传输数据的情况。因此，可能有多个组织控制受违规行为影响的个人信息。在指南中，OPC明确表示，他们希望所有在供应链中意识到违规行为的组织都会报告违规行为。这意味着，例如，"控制者"组织及其供应商（经历过破坏）都必须向OPC报告。报告哪些数据泄露？PIPEDA要求这些组织报告每一个涉及其控制下的个人信息的"违反安全保障措施"的行为，如果有理由相信这种违反行为会造成"严重损害的真正风险"违反–因违反组织的安全保障措施而导致个人信息丢失、未经授权访问或未经授权披露（PIPEDA第1部分第2（1）条）安全保障–保护个人信息不受丢失或盗窃，以及未经授权的访问、披露、复制、使用或修改。它们可以包括物理、组织或技术措施。（参见PIPEDA附表1第4.7条）重大损害的实际风险——基于组织对每个单独违规案例的评估。组织应建立一个违约风险评估框架，该框架应考虑到与违规行为有关的个人信息的敏感性以及个人信息已被/正在/将被滥用的可能性。如何及何时通知违约？作为指南的一部分，OPC包括一个通知个人信息泄露的模板表格。即使并非所有信息（如原因或计划的缓解措施）都已知或确认，组织必须在违规后尽快报告违规行为。该表格包括关于违规行为描述的问题，以及组织为降低对受影响个人的伤害风险而采取的任何违规缓解措施的细节。完整的违约通知表可通过电子邮件、邮寄或亲自提交。别忘了通知个人《指导意见》提醒，不仅应通知OPC，而且在个人面临重大伤害的实际风险时，必须与任何其他相关组织（如执法机构或金融机构）一起，在支付数据泄露的情况下，尽快让他们意识到违规行为。该指南还规定了组织向个人提供的违规信息内容的最低要求。就沟通渠道而言，通常应直接联系个人。在这种情况下，个人可以在公共场合使用公告，或者在这种情况下不可能使用。记录你的违规行为尽管组织可能希望忘记他们的数据泄露，但PIPEDA要求他们将所有个人数据泄露的记录保存在自己的控制之下——不管风险水平如何，也不管是否报告了这些数据。每一次违规行为都必须记录在案，并至少保存两年。虽然违规记录应描述所涉及的信息类型，但通常不应包括个人信息本身。OPC指南规定了违规记录的最低内容：违约日期或预计违约日期；违约情况的一般说明；涉及违约的信息的性质；是否向加拿大隐私专员/个人报告了违规行为；以及如果未向隐私专员/个人报告违规行为，请简要解释为何确定违规行为不会造成"重大损害的实际风险"OPC接受公众对指南的意见，包括建议的违约报告表。相关方提交意见的截止日期为2018年10月2日。OneTrust的帮助很明显，事件和违规管理仍然是全球隐私计划的一个重要因素。OneTrust的事件和违规管理解决方案可以帮助您维护事件和违规记录，根据通知要求进行评估，并通过与基础数据清单的连接分析总体风险。OneTrust的隐私团队在软件中提供涵盖多个司法管辖区的研究，以确保客户拥有最新的信息，以便快速做出明智的决策。想了解更多吗？本周访问加拿大的OneTrust部门，与OneTrust的隐私主管Andrew Clearwater会面！他将于10月3日星期三下午1:25在718B室就iso27001和GDPR：识别重叠和简化工作发表讲话。不参加部门？在您附近的城市注册PrivacyTECH或PrivacyConnect！分享这篇文章