T上西北

GDPR (二)

前面的一边文章GDPR (一)主要描述了一些概念。其实最重要的是在GDPR下,组织应该做什么才是最关心的。查了一些资料,关键词是Consent,同意赞成的意思。

首先组织为什么要处理个人数据:

  • 提供服务和产品
  • 市场调查和分析
  • 公共安全
  • 作为build公共关系的一部分
  • 招聘
  • 其他

各式各样的原因吧。

一个组织必须要能有一个正当合理合法的说明来处理这些数据,例如合约,法律意义上的职责,或者data subject的Consent。

GDPR 关于什么可以为Consent是非常特定的:

  • Consent必须清楚的表达出来。
  • Consent是免费的提出,而不是强制性的。组织唯一能够要求个人提供个人数据或者consent,这是发布一个产品或提供一个服务需要做的。
  • Consent必须以清楚,精确的语言表达出来,而且很容易访问。
  • 必须区别于其他consent的条款项。
  • Silence可不是Consent。

所以,你必须熟悉你的组织关于Consent的流程。

 

Data Controller是有责任的,必须对什么样的数据进行收集和为什么要收集要特别清楚。而且做到数据最小化,也就是说仅收集那些业务需要的数据,而且一旦不需要了,他们必须销毁或者匿名化。同时,这些收集的数据怎么使用也需要限制,仅对这些业务需求。而且一般是基于客户允许的情况下才可以使用。

 

Data Subject的权利很重要。Data Controller有责任和义务尊重他们的权利。

Data Subject有权利让Controller修改,删除数据。

Data Controller有义务配合Data Subject的请求。同时对于一些请求,需要授权给Data Processor.

Data Processor必须遵守Data Controller的流程,授权等。

如果个人数据发生意外,例如授权给错误的第三方,或者意外删除数据等,须在72小时内上报给监管方。

 

关于个人数据的安全,数据库访问必须授权,不可以让未授权的人访问。这就需要公司关于此定义的Policy了。这点在我们已经有了相关流程了。

同时,数据的存储格式不要以直观的格式来存储数据,而是要加密,混淆(随机)来处理。

 

参考:

https://en.wikipedia.org/wiki/General_Data_Protection_Regulation

https://www.eugdpr.org/

评论