自2018年GDPR正式实施以来,数据保护的风险和惩罚为企业带来了更多的责任和义务,企业实务中应该怎样将数据保护问题落实到各项活动中?很多企业对此还很困惑。事实上“设计”和“默认”数据保护是GDPR风险管理中的重要因素,而且它还侧重于问责制,要求企业要能够证明自己是如何遵守其要求的。那么企业应该如何通过“设计”和“默认”数据保护来达到GDPR的要求?一些组织已采用“隐私设计方法”作出了良好实践。如果您的企业也有关于欧盟的业务,就让我们一起学习GDPR“设计”和“默认”数据保护的相关资料,帮助您对照检查自身的程序措施,来确保企业已履行了相关义务。
PS:设计数据保护的基本概念并不新鲜,曾以“设计隐私”的名义存在多年。实质上设计的数据保护是将隐私设计方法引入到数据保护法中。根据1998年法案,ICO(Information Commission’s Officer)支持这种方法,因为它帮助企业实现遵守数据保护义务。现在它是GDPR的一项法律要求。
1
数据保护“设计”和“默认”意味什么?
应在什么时候做?
首先,数据保护“设计”和“默认”意味着GDPR鼓励企业在设计处理程序的最初阶段,采用技术及组织措施,从一开始就保护个人数据隐私资料(“以设计方式保护资料”)。在默认情况下,企业应确保在处理个人资料时有最高的隐私保障(eg:仅处理必要的数据,设置短存储期和有限的可访问权),不让任谁都能看到并处理个人数据(“默认数据保护”)。
在什么时候做&#x