GDPR要求出海欧洲的企业履行四大义务:采取数据保护措施(包括数据保护设计和默认数据保护)、保障个人数据安全、开展数据保护影响评估以及设立数据保护官。数据保护设计强调事前提早设计和事中调整,确保数据处理符合隐私保护原则。默认数据保护则要求只处理必要数据。保障个人数据安全涉及数据加密、系统安全和数据泄露响应机制。数据保护影响评估用于识别和减轻处理风险。设立数据保护官是针对特定类型处理活动的必要举措。
01 采取数据保护措施两大原则
GDPR规定,数据控制者有义务采取适当的技术和组织措施来保护数据主体权利,确保数据处理原则得到贯彻执行,这也是控制者的核心义务。GDPR并没有要求企业必须实行某项具体的“技术和组织措施”,而是要求这些措施必须是根据数据保护原则而制定,即数据保护设计(data protection by design)和默认数据保护(data protection by default)。
原则一:数据保护设计
GDPR第25(1)条规定,“考虑到国家的技术发展水平、实施成本和处理行为的性质、范围、环境和目的,以及处理可能给自然人的权利和自由带来的风险和损害,控制者在决定和实施数据处理的方法时,应当以一种有效的方法实施适当的技术、组织措施,例如设计以实施数据保护原则的匿名机制和数据最小化机制,并且将必要的保障措施融入处理中,以使数据处理既符合本条例的要求又保护数据主体的权利。”
简单来说,数据保护设计原则即为“事前提早设计,事中随时调整”。企业在决定数据处理目的时就应考虑如何设计数据保护措施,它不仅对于系统保障用户权利至关重要,也能有效帮助企业降低数据保护成本。数据保护理念要贯穿在数据全生命周期内,要能确保企业在决定数据处理目的时就应考虑如何设计数据保护措施,它不仅对于系统保障用户权利至关重要,也能有效帮助企业降低数据保护成本。数据保护理念要贯穿在数据全生命周期内,要能确保
除了最开始就要做好顶层设计外,“事中随时调整”也极为重要。由于技术水平、风险、数据处理活动的范围、性质、情境都在不断变化,因此在数据处理活动开始后,企业有必要随时关注最新进展,调整自己的数据保障措施。这也意味着,企业在最初制定保护措施时应注重灵活,以便在遇到更大的风险时能弹性处理。
原则二:默认数据保护
GDPR第25(2)条规定,“数据控制者应当实施相应的技术和组织措施,以确保在默认情形下,被处理的个人数据对于每个特定处理目的都是必要的。该最小必要义务适用于被收集的个人数据的数量、处理规模、存
最低0.47元/天 解锁文章
扫一扫
872
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
