一
前面的一边文章GDPR (一)主要描述了一些概念。其实最重要的是在GDPR下,组织应该做什么才是最关心的。查了一些资料,关键词是Consent,同意赞成的意思。
首先组织为什么要处理个人数据:
- 提供服务和产品
- 市场调查和分析
- 公共安全
- 作为build公共关系的一部分
- 招聘
- 其他
各式各样的原因吧。
一个组织必须要能有一个正当合理合法的说明来处理这些数据,例如合约,法律意义上的职责,或者data subject的Consent。
GDPR 关于什么可以为Consent是非常特定的:
- Consent必须清楚的表达出来。
- Consent是免费的提出,而不是强制性的。组织唯一能够要求个人提供个人数据或者consent,这是发布一个产品或提供一个服务需要做的。
- Consent必须以清楚,精确的语言表达出来,而且很容易访问。
- 必须区别于其他consent的条款项。
- Silence可不是Consent。
所以,你必须熟悉你的组织关于Consent的流程。
二
Data Controller是有责任的,必须对什么样的数据进行收集和为什么要收集要特别清楚。而且做到数据最小化,也就是说仅收集那些业务需要的数据,而且一旦不需要了,他们必须销毁或者匿名化。同时,这些收集的数据怎么使用也需要限制,仅对这些业务需求。而且一般是基于客户允许的情况下才可以使用。
三
Data Subject的权利很重要。Data Controller有责任和义务尊重他们的权利。
Data Subject有权利让Controller修改,删除数据。
Data Controller有义务配合Data Subject的请求。同时对于一些请求,需要授权给Data Processor.
Data Processor必须遵守Data Controller的流程,授权等。
如果个人数据发生意外,例如授权给错误的第三方,或者意外删除数据等,须在72小时内上报给监管方。
四
关于个人数据的安全,数据库访问必须授权,不可以让未授权的人访问。这就需要公司关于此定义的Policy了。这点在我们已经有了相关流程了。
同时,数据的存储格式不要以直观的格式来存储数据,而是要加密,混淆(随机)来处理。
参考:
https://en.wikipedia.org/wiki/General_Data_Protection_Regulation