خطة الاستجابة لمدة 72 ساعة لخرق بيانات اللائحة العامة لحماية البيانات: أ...

Q: When does the 72-hour clock start?

When your organisation becomes aware of the breach — not when IT confirms it, not when legal reviews it, not when the DPO is informed. If a front-line staff member discovers the breach on Friday evening, the clock starts Friday evening. This is why internal reporting procedures must be fast and clear.

Q: Do I have to notify if only a small amount of data was affected?

The notification obligation depends on risk level, not data volume. A small breach exposing health records or financial credentials may require notification. A large breach of already-public data may not. Conduct a proper risk assessment for every breach regardless of size.

Q: What happens if we miss the 72-hour deadline?

Supervisory authorities take late notifications seriously. Penalties can be significant. However, demonstrating a good-faith effort, a credible explanation for the delay, and strong remediation measures can mitigate penalties. Late notification is always better than no notification.

Q: Must we notify individuals for every breach?

No. Individual notification under Article 34 is required only when the breach is 'likely to result in high risk' to individuals. This is a higher bar than the supervisory authority notification threshold. But err on the side of notifying — failing to notify individuals when required can result in larger fines.

Q: What is a data breach register?

GDPR Article 33(5) requires all organisations to maintain documentation of every personal data breach — even those that did not require supervisory authority notification. This register must include: the facts, the effects, and the remedial action taken. Regulators inspect breach registers during audits.

Q: How does HubSecure help with GDPR breach response?

HubSecure provides encrypted secure data storage, access logging, and permission controls that reduce breach risk. For firms managing client data, HubSecure's audit trail means you can quickly determine exactly what data was accessed and by whom — critical for the 72-hour assessment.

موجز قصير

سبعون ساعة تبدو فترة طويلة حتى تكون في منتصف الخرق وتساعد هذه الخطة التدريجية أفرقة الامتثال والأمن على الوفاء بالموعد النهائي للإخطار الناتج المحلي الإجمالي دون ذعر.

ما يجب أن يثبته تدفق العمل.
الذي يَحْكمُ ويَجِبُ على مشتري الأدلةِ تَدقيق.
How HubSecure fits without replace legal advice.

كتابيفريق التحرير

تقديم أدلة عملية لبوابات العملاء الآمنة، والشبكة الإقليمية للتعاون التقني، والدخول في عمليات العملاء وتنظيمها.

استعراض من قبلHubSecure Security & Compliance Review

تمت المراجعة للتأكد من تحديد المواقع الأمنية ودقة سير العمل ووضوح التنفيذ.

آخر تحديثMay 7, 2026

تم التحقق منه ضد موقع التسويق ومركز المنتجات الحالي.

TL;DR

المادة 33 من اللائحة العامة لحماية البيانات: قم بإخطار السلطة الإشرافية الخاصة بك في غضون 72 ساعة من علمك بالانتهاك
المادة 34: إخطار الأفراد المتضررين دون تأخير غير مبرر إذا كان الانتهاك شديد الخطورة
تبدأ الساعة عندما يصبح أي جزء من مؤسستك على علم بذلك، وليس فقط قسم تكنولوجيا المعلومات أو الجانب القانوني
يمكن إرسال الإخطار على مراحل - الإخطار الأولي في غضون 72 ساعة، وستتم متابعة التفاصيل

لا يقتصر خرق البيانات الشخصية بموجب اللائحة العامة لحماية البيانات على القرصنة. ويشمل ذلك أي تدمير عرضي أو غير قانوني أو فقدان أو تغيير أو الكشف غير المصرح به عن البيانات الشخصية أو الوصول إليها. بريد إلكتروني تم إرساله إلى المستلم الخطأ، أو جهاز كمبيوتر محمول مفقود، أو جدول بيانات تم نشره عن طريق الخطأ - كل ذلك يمكن أن يؤدي إلى التزامات الإخطار بالانتهاك.

تعد نافذة الـ 72 ساعة واحدة من المتطلبات الأكثر تطلبًا من الناحية التشغيلية في القانون العام لحماية البيانات (GDPR). وهنا خطة الاستجابة التي تم اختبارها.

مسار الشراء ذو الصلة HubSecure

دليل الامتثال لإدارة علاقات العملاء (CRM) الامتثال لإدارة علاقات العملاء (CRM) للشركات النامية وحدة إدارة علاقات العملاء (CRM) مقارنة HubSpot دليل الامتثال لإدارة علاقات العملاء (CRM) دليل المكتبة احجز عرضًا توضيحيًا لسير العمل

موارد الأمان والخصوصية والحوكمة ذات الصلة

تابع مع مركز الأمان والثقة HubSecure، واتفاقية معالجة البيانات، والمعالجات الفرعية، وسير عمل الامتثال، ومشغل الذكاء الاصطناعي المحكوم.

حالة الاستخدام ذات الصلة

ينتمي هذا الدليل إلى مجموعة بدائل مساحة العمل وأدلة دمج الأدوات. تابع مع مركز المنتج للحصول على بدائل مساحة العمل ودمج الأدوات.

Hour 0–4: Contain and assess

Activate your incident response team — DPO, IT security, legal, communications lead
Contain the breach — revoke access, isolate systems, recover lost devices, stop the leak
Preserve evidence — log files, email headers, access records. Do not destroy anything
Document everything — time of discovery, who identified it, what actions were taken when
Assess scope — what data was affected? How many individuals? What categories (health, financial, criminal)?

Hour 4–24: Risk assessment

Determine whether the breach is “likely to result in a risk to the rights and freedoms of natural persons.” Most breaches clear this bar and therefore require supervisory authority notification. Only low-risk breaches (e.g., encrypted data with no known decryption risk) are exempt.

Assess separately whether the breach is “likely to result in high risk” which triggers direct notification to affected individuals under Article 34. High-risk indicators include:

الكشف عن بيانات فئة خاصة (الصحة، القياسات الحيوية، السجلات الجنائية، الدين)
البيانات المالية التي يمكن أن تمكن الاحتيال أو سرقة الهوية
عدد كبير من الأفراد المتضررين
الفئات السكانية الضعيفة (الأطفال والمرضى) من بين المتضررين
البيانات في أيدي جهة ضارة بدلاً من الكشف عنها عن طريق الخطأ

Hour 24–48: Draft notification

تتطلب المادة 33 أن يتضمن إشعارك ما يلي:

طبيعة الانتهاك (الفئات والعدد التقريبي للأفراد والسجلات المتأثرة)
الاسم وتفاصيل الاتصال بمسؤول حماية البيانات (DPO) أو نقطة الاتصال الأخرى
العواقب المحتملة للانتهاك
التدابير المتخذة أو المقترحة لمعالجة الانتهاك، بما في ذلك التخفيف

يُسمح بالإخطار المرحلي: إذا لم تتمكن من تقديم جميع التفاصيل في غضون 72 ساعة، فأرسل ما تعرفه وأعلم أن المعلومات الإضافية ستتبع. إن تقديم إشعار غير مكتمل في الوقت المحدد أفضل من تقديم إشعار كامل بعد الموعد النهائي.

Hour 48–72: Submit and notify individuals

التقديم إلى السلطة الإشرافية عبر بوابتهم الإلكترونية (على سبيل المثال، Datatilsynet في النرويج، وICO في المملكة المتحدة، وCNIL في فرنسا)
إذا كان الأمر شديد الخطورة: قم بإخطار الأفراد المتضررين بلغة واضحة موضحًا ما حدث، وما هي البيانات المتأثرة، والعواقب المحتملة، والخطوات التي يجب عليهم اتخاذها
قم بتوثيق التقديم بما في ذلك الرقم المرجعي والتأكيد

ما بعد 72 ساعة: التوثيق والمعالجة

الاحتفاظ بسجل كامل للانتهاكات (تتطلب المادة 33 (5) توثيق جميع الانتهاكات بغض النظر عما إذا كان الإخطار مطلوبًا)
إجراء تحليل السبب الجذري
تنفيذ الإجراءات الوقائية واختبارها
قم بتحديث خطة الاستجابة للحوادث بناءً على الدروس المستفادة
قم بإبلاغ السلطة الإشرافية الخاصة بك بالتحديثات على الإخطار الأولي

الأسئلة المتداولة

When does the 72-hour clock start?

عندما تصبح مؤسستك على علم بالانتهاك - ليس عندما يؤكده قسم تكنولوجيا المعلومات، وليس عندما يراجعه قانونيًا، وليس عندما يتم إبلاغ مسؤول حماية البيانات (DPO). إذا اكتشف أحد موظفي الخطوط الأمامية الاختراق مساء الجمعة، فإن الساعة تبدأ مساء الجمعة. ولهذا السبب يجب أن تكون إجراءات إعداد التقارير الداخلية سريعة وواضحة.

Do I have to notify if only a small amount of data was affected?

يعتمد التزام الإخطار على مستوى المخاطر، وليس على حجم البيانات. قد يتطلب أي خرق صغير يكشف السجلات الصحية أو بيانات الاعتماد المالية الإخطار. قد لا يحدث انتهاك كبير للبيانات العامة بالفعل. إجراء تقييم مناسب للمخاطر لكل خرق بغض النظر عن حجمه.

What happens if we miss the 72-hour deadline?

تأخذ السلطات الإشرافية الإخطارات المتأخرة على محمل الجد. العقوبات يمكن أن تكون كبيرة. ومع ذلك، فإن إظهار جهود حسن النية، وتقديم تفسير موثوق للتأخير، واتخاذ تدابير علاجية قوية، يمكن أن يخفف من العقوبات. الإخطار المتأخر أفضل دائمًا من عدم الإخطار.

Must we notify individuals for every breach?

لا. الإخطار الفردي بموجب المادة 34 مطلوب فقط عندما يكون الانتهاك "من المحتمل أن يؤدي إلى مخاطر عالية" على الأفراد. وهذا حاجز أعلى من عتبة إخطار السلطة الإشرافية. لكن عليك أن تخطئ في الإخطار، فالفشل في إخطار الأفراد عند الحاجة قد يؤدي إلى فرض غرامات أكبر.

What is a data breach register?

تتطلب المادة 33 (5) من اللائحة العامة لحماية البيانات (GDPR) من جميع المؤسسات الاحتفاظ بوثائق كل خرق للبيانات الشخصية - حتى تلك التي لم تتطلب إخطار السلطة الإشرافية. ويجب أن يتضمن هذا السجل: الوقائع والآثار والإجراءات العلاجية المتخذة. يقوم المنظمون بفحص سجلات الانتهاك أثناء عمليات التدقيق.

How does HubSecure help with GDPR breach response?

يوفر HubSecure تخزينًا آمنًا ومشفرًا للبيانات، وتسجيل الوصول، وضوابط الأذونات التي تقلل من مخاطر الاختراق. بالنسبة للشركات التي تدير بيانات العملاء، يعني مسار التدقيق الخاص بـ HubSecure أنه يمكنك بسرعة تحديد البيانات التي تم الوصول إليها بالضبط ومن قام بالوصول إليها - وهو أمر بالغ الأهمية للتقييم الذي يستغرق 72 ساعة.

انظر:

سجل مراجعة الحسابات، وسجل الحوادث يساعدك على مقابلة نافذة الإخطار لمدة 72 ساعة.

Book a demo → ترجمة

انظر أيضاً: HubSecure DA EU SCCs · Security overview

المصادر الرسمية والقراءة الأخرى

Use these public sources to verify regulatory background and terminology. المحتوى هو توجيه المنتجات، وليس المشورة القانونية.

مذكرات الموثوقية

وهذا الدليل مكتوب لتقييم المنتجات والعمليات، وليس كمشورة قانونية. أما فيما يتعلق بالتزامات الامتثال، فيؤكد الشروط المتعلقة بمستشار مؤهل أو بالتنظيم ذي الصلة.

المراجع: الأمن؛ إدارة الشؤون السياسية؛ الجهات الفرعية؛ مسرد AML/KYC

استعراض الأفرقة المنظمة

Prepared by the HubSecure editorial team for operators, compliance leaders and IT reviewers evaluating secure client operations software.

المؤلفون: مراجعون؛ سياسة التحرير

موجز قصير

الاستجابة لخرق بيانات اللائحة العامة لحماية البيانات: خطة العمل الخاصة بك لمدة 72 ساعة

مسار الشراء ذو الصلة HubSecure

موارد الأمان والخصوصية والحوكمة ذات الصلة

حالة الاستخدام ذات الصلة

Hour 0–4: Contain and assess

Hour 4–24: Risk assessment

Hour 24–48: Draft notification

Hour 48–72: Submit and notify individuals

ما بعد 72 ساعة: التوثيق والمعالجة

الأسئلة المتداولة

انظر:

المصادر الرسمية والقراءة الأخرى

مذكرات الموثوقية

استعراض الأفرقة المنظمة

مواصلة تقييم سير العمل

مراجعة التحرير والامتثال

صفحات مصدر الحقل لهذا الموضوع

مواصلة مسار التقييم

مصادر للتحقق من سياق الامتثال

موجز قصير

الاستجابة لخرق بيانات اللائحة العامة لحماية البيانات: خطة العمل الخاصة بك لمدة 72 ساعة

مسار الشراء ذو ​​الصلة HubSecure

موارد الأمان والخصوصية والحوكمة ذات الصلة

حالة الاستخدام ذات الصلة

Hour 0–4: Contain and assess

Hour 4–24: Risk assessment

Hour 24–48: Draft notification

Hour 48–72: Submit and notify individuals

ما بعد 72 ساعة: التوثيق والمعالجة

الأسئلة المتداولة

انظر:

المصادر الرسمية والقراءة الأخرى

مذكرات الموثوقية

استعراض الأفرقة المنظمة

المواد ذات الصلة

مواصلة تقييم سير العمل

مراجعة التحرير والامتثال

صفحات مصدر الحقل لهذا الموضوع

مواصلة مسار التقييم

مصادر للتحقق من سياق الامتثال

مسار الشراء ذو الصلة HubSecure