El "Borrador para comentarios sobre las regulaciones de gestión de seguridad de datos de red" estipula que cuando se filtran, dañan, pierden datos importantes o información personal de más de 100.000 personas u otros incidentes de seguridad de datos, los procesadores de datos también deben realizar las siguientes obligaciones:
p>(1) Informar la información básica del incidente al departamento de información de red municipal distrital y a las autoridades competentes pertinentes dentro de las ocho horas siguientes a la ocurrencia del incidente de seguridad, incluida la cantidad, tipo, posible impacto de los datos involucrados y las medidas tomadas o planeadas tomar Medidas de eliminación, etc.;
(2) Informar al departamento de información de la red municipal distrital y a las autoridades competentes pertinentes dentro de los cinco días hábiles posteriores a la se gestiona el incidente, incluyendo la causa del incidente, consecuencias perjudiciales, manejo de responsabilidades, medidas de mejora, etc. Un informe sobre la investigación y evaluación de la situación.
Artículo 11 del "Borrador para comentarios sobre el Reglamento de gestión de seguridad de datos de la red": los procesadores de datos deben establecer un mecanismo de respuesta de emergencia de seguridad de datos, activar rápidamente el mecanismo de respuesta de emergencia cuando ocurra un incidente de seguridad de datos y tomar medidas. para evitar la expansión del daño. Si un incidente de seguridad causa daño a personas u organizaciones, el procesador de datos deberá informar el incidente de seguridad y la situación de riesgo, las consecuencias del daño y las medidas correctivas que se hayan tomado dentro de los tres días hábiles por teléfono, mensaje de texto, mensaje instantáneo, etc. Notificar a los interesados partes a través de herramientas de comunicación, correos electrónicos, etc. Si la notificación no es posible, se podrán realizar anuncios. Si las leyes y reglamentos administrativos estipulan que no se requiere notificación, prevalecerán tales disposiciones. Si un incidente de seguridad es sospechoso de ser un delito, el encargado del tratamiento deberá informar el caso al organismo de seguridad pública de conformidad con la normativa.
En caso de que se produzca un incidente de seguridad de datos como fuga, daño o pérdida de datos importantes o información personal de más de 100.000 personas, el encargado del tratamiento deberá cumplir también con las siguientes obligaciones:
(1) En caso de un incidente de seguridad, informar la información básica del incidente al departamento de información de la red municipal distrital y a las autoridades competentes pertinentes dentro de las ocho horas posteriores al incidente, incluida la cantidad y el tipo de datos involucrados, los posibles impactos y la eliminación. medidas que se han tomado o se planea tomar, etc.;
(2) Presentar un informe de investigación y evaluación que incluya la causa del incidente, las consecuencias perjudiciales, el manejo de responsabilidad, las medidas de mejora, etc. departamento de información de la red municipal distrital y las autoridades competentes pertinentes dentro de los cinco días hábiles posteriores a la resolución del incidente.