对不完整信息进行补偿？

fabiha01

您是否想同时向许多外部收件人发送活动邀请，并意外地在抄送中输入电子邮件地址而不是密送？电子邮件一发出，您就会意识到自己刚刚触发了一次数据保护事件，或者更准确地说，是一次数据泄露。本案可以相对明确地归类为《第 14 条》意义内的数据保护违法行为。 4 第 12 条 GDPR，在这种情况下，第二步是检查是否有义务根据第 4 条向主管数据保护监督机构报告。 33 GDPR。然而，在个别情况下，这种分类可能很困难，因为并非所有违反 GDPR 的行为都构成第 14 条意义内的数据保护违规行为。 GDPR 第 4 条第 12 款。本文旨在帮助您更容易地区分这一点。

什么是《艺术》意义上的数据保护违规行为？ 4 第 12 条 GDPR？
如果我们首先看一下艺术中的法律定义。根据 GDPR 第 4 条第 12 款规定，违反个人数据保护的行为（即数据保护违规行为）定义如下：

“安全漏洞导致传输、存储或以其他方式处理的个人数据被意外或非法破坏、丢失、更改、未经授权的披露或访问。 ”

因此，数据泄露必然涉及个人数据处理过程中的安全漏洞，即数据被非法披露给第三方、因事件而删除、或未经授权（包括内部）暂时无法访问或无法访问。安全漏洞的定义参见第 6 条。 GDPR第32条要求处理个人数据的组织实施适当的技术和组织措施（TOM）以确保数据安全。这些措施旨在防止未经授权处理个人数据并确保数据的完整性和可用性。因此，它们构成了数据安全的基本组成部分，并描述了处理个人数据的框架（参见 Taeger/Gabel/Arning/Rothkegel，第 4 版，2022 年，GDPR 第 4 条，第 368 段）。

根据此定义，评估是否发生了个人数据泄露必须考虑控制者或处理者实施的技术和组织数据安全措施。因此，仅当这些措施中的一项或多项由于技术原因或人为行为而失败时，才会发生违规行为（参见 Taeger/Gabel/Arning/Rothkegel，第 4 版，2022 年，GDPR 第 4 条第 369 款）。

相反，单纯的非法数据处理（例如，因为没有相关的数据处理法律依据）本身并不属于第 6 条的定义。 GDPR 第 4 条第 12 款。这同样适用于员工不遵守数据保护法规，加拿大商业传真列表 违反有关合法处理个人数据的指示，例如有关预期目的、信息义务或存储期限的规定。这仅仅是因为，根据 GDPR 第 4 条第 12 款的措辞，数据处理是否违法与违反个人数据保护无关。尽管如此，在个别情况下，非法数据处理可能与《第 14 条》意义内的数据保护违法行为相一致。 GDPR 第 4 条第 12 款（参见 Kühling/Buchner/Jandt，2024 年第 4 版，GDPR 第 4 条第 12 款第 3 段）。

实际示例
为了使上面概述的理论考虑更加具体，下面通过实际例子来阐明违反 GDPR 和第 6 条含义内的数据保护违规之间的区别。 GDPR 第 4 条第 12 款。

示例 1：删除句点过长或缺失
通常，个人数据会被公司或其他负责数据保护的机构保留很长时间，有时甚至根本不被删除。 GDPR 第 5（1）（e）条明确规定，个人数据只能以能够识别数据主体的形式存储，存储时间需为实现数据处理目的所必需的时间。如果数据处理的目的不再适用，并且没有其他理由保留个人数据，则必须将其删除。如果组织不这样做，就违反了存储限制原则。虽然个人数据的存储时间过长不符合数据保护原则，但这并不构成 GDPR 第 4 条第 12 款所定义的数据保护违规行为。根本就不存在安全漏洞或公司技术和组织措施失败的情况。

示例 2：没有法律依据或法律依据不正确
一家公司在其网站上使用联系表，并要求提供姓名、电子邮件地址和联系请求以及地址和电话号码等基本信息。这两个文本字段没有标记为自愿信息，也没有迹象表明对于使用联系表来说并非绝对必要的个人数据将在联系人同意的基础上进行处理。相反，整个数据处理都是基于《第 14 条》规定的合法利益。 GDPR 第 6（1）（f）条。但是，此法律依据与使用联系表时联系人的地址和电话号码的处理无关。因此，该公司根据错误的法律依据处理这些个人数据。在这种情况下，根据《艺术》这将被视为同意。 GDPR 第 6（1）（a）和（7）条。但该公司并未提出这样的要求。尽管存在第 14 条规定的数据保护原则。 5 在此违反了 GDPR（数据处理合法性原则），仅仅缺乏法律依据或使用不正确的法律依据并不符合数据保护违规的要求。

示例3：未完成的人事办公室
某公司的人事办公室处于空闲状态，由于门没有上锁，所有员工可以在四个小时内自由出入。一名员工进入办公室提交文件，瞥见桌子上有两份打开的人事档案。只有人力资源部门的员工才被允许定期检查人事档案。由于人事档案有时包含非常敏感的员工数据，因此必须特别保护。因此，该例子显然构成了《第 14 条》所定义的数据保护违规行为。 GDPR 第 4 条第 12 款。人事办公室门未锁，违反了组织措施（人事办公室在没有工作人员的情况下仍然开放），从而导致个人数据未经授权泄露（未经授权的员工访问了两份人事档案）。因此，第二步是检查是否必须根据第 6 条在 72 小时内向数据保护监管机构发出通知。 33 GDPR。

结论
并非所有构成数据保护违规的行为实际上都是数据保护违规行为，可能需要向数据保护监管机构报告。始终建议进行逐案评估，以确定违反 GDPR 是否确实构成数据保护违规。只有这样，才有必要对权利和自由的风险进行评估。此风险评估是确定数据泄露是否确实符合《条例》规定报告的第一步。 33 GDPR。由于《条例》规定的期限很短。 33 GDPR（72 小时！），因此，处理数据保护违规和违反行为的流程应在您的公司中得到妥善实施，并由所有员工遵守，以避免数据保护监管机构的任何延迟报告和制裁。