致电我们:1300 568 888

为NDB计划准备您的矿业组织

2017年私隐修正案(通知数据违规行为)法案成立了 NDB方案 在澳大利亚,作为1988年的隐私法案的第二部分。 “NDB计划”规定了组织向受影响个人和澳大利亚山东十一夺金遗漏专员提供有关任何可能导致严重危害的数据漏洞的义务。 NDB方案加强了对受影响个人有机会采取措施保护其个人山东十一夺金遗漏违约之后保护其个人山东十一夺金遗漏的个人山东十一夺金遗漏的保护。此外,该方案支持的透明度鼓励所有澳大利亚行业的更大的个人山东十一夺金遗漏安全功能。随着时间的推移,这种透明度应该在处理个人山东十一夺金遗漏时建立消费者和社区信心。为了遵守NDB计划,您的 矿业组织 应该教育所有参与潜在数据违约的人员,所以如果有必要,他们将准备好。

谁需要遵守NDB计划?

NDB计划适用于1988年“隐私法”下的义务组织,包括:

  • 澳大利亚政府机构
  • 所有企业和非营利组织,年营业额为300万美元或以上
  • 一些小型企业运营商,包括:
    1. 所有私营部门卫生服务提供商
    2. 那些交易个人山东十一夺金遗漏的人
    3. TFN接受者(如果年营业额低于300万美元,则NDB计划仅适用于TFN山东十一夺金遗漏)
    4. 例如,那些拥有有关某些活动的个人山东十一夺金遗漏的人;根据合同向英联邦提供服务

什么是an“Eligible Data Breach”根据NDB计划?

满足三个标准时会发生符合条件的数据泄露:

  • 未经授权的访问或未授权披露个人山东十一夺金遗漏或丢失个人山东十一夺金遗漏,即实体持有
  • 这可能会对一个或多个人产生严重危害,而实体并未能够防止对补救行动严重危害的可能性
  • “Serious harm”可以是心理,情感,身体,声誉或其他形式的伤害

什么是补救措施?

如果你采取了防止发生严重伤害的可能性的补救措施,那么违规行为不是 符合条件的数据泄露。对于个人山东十一夺金遗漏丢失的违规行为,如果防止未经授权的访问或个人山东十一夺金遗漏披露,则补救措施是充足的。

补救措施的例子:

包含众多个人的个人山东十一夺金遗漏的数据文件被发送到实体外的错误收件人。发件人实现错误并与收件人联系,该接收者向尚未访问数据文件的建议。然后,发件人确认收件人未复制,并且已永久删除数据文件。

在上班途中,员工在公共交通工具上留下智能手机。当员工到达工作时,他们意识到智能手机已经丢失,并要求雇主的IT支持员工远程删除智能手机的山东十一夺金遗漏。由于智能手机上的安全措施,IT支持的人员相信其内容在丢失和删除内容时,其内容无法在短时间内访问。

我的组织应该什么时候进行评估,对疑似数据违约?

有时没有证据表明数据已受到未经授权的访问,但同时无法证明没有访问权限。公司如何评估其未证明严重危害的证据,也没有获取或可能造成伤害的证据?

如果您怀疑可以满足阈值的数据泄露“可能导致严重伤害,”您必须进行评估。通常,最多30天进行该评估。这从你意识到潜在违规行为时开始。领先于NDB计划,您应该审查您的数据违约框架,以确保相关人员将尽快引发违约。预计在通知发生前,每次数据泄露都需要评估需要30天才能完成。一旦持有相信符合条件的数据违规行为,您必须尽快通知。

评估有什么关系?

  • 该行为表示评估必须是“reasonable” and “expeditious”
  • 在进行评估时,实体决定遵循什么过程
  • 评估应包括以下三个阶段:
    1. 发起: 决定是否有必要进行评估,并确定哪些人或团体将负责完成它
    2. 调查: 快速收集有关疑似违规的相关山东十一夺金遗漏,包括例如,可能有哪些个人山东十一夺金遗漏受到影响,他们可能已经访问了山东十一夺金遗漏和可能的影响,以及
    3. 评估: 根据调查作出决定,了解已识别的违约是否是符合条件的数据违约

我的组织应该通知谁?

  • 您必须以数据泄露的结果通知任何可能严重危害风险的个人
  • 您还必须通知澳大利亚山东十一夺金遗漏专员
  • 通知有三个选项:
    1. 通知 所有个人山东十一夺金遗漏涉及合格数据泄露的所有个人
    2. 通知 只有可能危害严重危害的个人或者
    3. 发布 您的通知,并宣传它的目的是将其引起所有人的注意力可能发生严重危害

我的组织应该在澳大利亚山东十一夺金遗漏专员的声明中包括什么?

你的通知 澳大利亚山东十一夺金遗漏专员 必须是声明的形式,其中包括以下山东十一夺金遗漏:

  • 您的代理/组织的身份和联系方式
  • 符合条件的数据泄露的描述
  • 符合条件数据违约所涉及的山东十一夺金遗漏类型
  • 您的代理/组织建议个人承担符合条件的数据泄露的哪些步骤
  • 必须尽快向委员提供此声明

有没有例外?

通知要求有一些例外,这与以下内容有关:

  • 符合其他实体的资格数据泄露
  • 执法相关活动
  • 保密条款不一致
  • 澳大利亚山东十一夺金遗漏专员声明
  • 我的健康记录数据违规