提起数据处理,不少人会困惑,按照GDPR的规定有哪些内容能构成数据处理?有关于数据处理的例子吗?GDPR规定企业要保护个人数据的处理安全,个人数据处理安全的具体内容有哪些?数据“加密”对企业个人数据处理安全能起到多大的保护作用?相信还有很多人对此是一知半解。
学习GDPR,如果您已经把握了GDPR的处罚规则,那么对GDPR“数据处理”、“处理安全”、“加密”等这些细节问题就更应该多做功课,因为这是在具体的商业活动中,企业时刻在做的事情。今天,我们一起来学习GDPR与企业活动相关的实用内容,为企业进一步发展,做好法律保护。
首先,什么构成数据处理?
GDPR适用于全部或部分通过自动化方式以及非自动方式处理个人数据的行为。——数据处理涉及对个人数据执行的各种操作,包括人工或自动处理。它包括收集,记录,组织,结构化,存储,改编或更改,检索,咨询,使用,传播,发送或以其他方式提供,排列或组合,限制,删除或销毁个人数据。
其次,数据处理的例子包括哪些?
参考GDPR第4(2)和(6)条可知,以下行为均为个人数据处理行为:
a人事管理和工资管理;
b访问/咨询包含个人数据的联系人数据库;
c发送促销电子邮件*;
d粉碎包含个人数据的文件;
e在网站上发布/放置一个人的照片;
f存储IP地址(全称互联网协议地址)或MAC地址(媒体存取控制位址,也称为局域网地址);
d录像等。
* 请记住,要发送直接营销电子邮件时,您还必须遵守ePrivacy(电子隐私条令)指令中规定的营销规则。关于此的具体内容,SCA安全通信联盟将在下一篇文章中为您整理。
第三,GDPR个人数据处理安全的具体规定包括哪些?
GDPR没有定义哪种具体的技术和组织措施在每种情况下是被认为合适的,但是,它为数据控制者提供了在选择保护个人数据的方法时要考虑的标准目录——包括:技术,实施成本以及处理的性质,范围,背景和目的。除了这些标准,人们还必须考虑数据主体的权利和自由带来的不同可能性和严重性的风险。GDPR第三十二条处理安全的具体内容摘录如下:
1、考量现有技术水平,实施成本和处理的性质,范围,背景,目的以及自然人的权利和自由带来的不同可能性和严重程度的风险,数据控制者和数据处理者应当采取技术性和组织性措施,以保证应对风险的适当安全水平,酌情考量包括但不限于以下因素:
a个人数据的假名化和加密;
B保证处理系统和服务的持续保密,完整,可用和具有自我修复的能力;
c在发生物理性或技术性事件时,能够及时恢复个人数据的可用性和访问的能力;
d定期测试,评估和评估确保处理过程安全的技术性和组织性措施的有效性。
2、衡量安全措施的适当水平时,应特别考虑到因处理所带来的风险,尤其是在传输、储存或进行其他处理时个人数据被意外或非法破坏、遗失、变更、未经授权披露或访问。
3、遵守第40条所述的经批准的行为准则或第42 条规定的经批准的认证机制,可用作为符合本条第1款规定的证明要素。
4、数据控制者和数据处理者应采取措施,确保在数据控制者或数据处理者授权下行动且有权访问个人数据的任何自然人,除非数据控制者向其发出指令,否则不能对该类数据进行处理。欧盟或欧盟成员国法律要求其他处理的除外。
这基本归结为以下几点:数据处理所涉及的风险越高,所采取的安全措施就应越强,必须采取的措施就越多。同时GDPR的第32(1)条并非详尽无遗。加密作为一个概念被明确提及为一种可能的技术和组织措施,以保护个人数据处理安全。但GDPR没有提及明确的加密方法来适应快节奏的技术进步。选择方法时,还必须应用上面的标准目录。下面我们来看一下关于数据处理安全“加密”的问题。
第四,数据处理安全“加密”指什么?有什么作用?
什么是加密?
通常,加密是指使用密钥将明文转换为散列代码的过程,其中传出信息仅通过使用正确的密钥再次可读。这最大限度地降低了数据处理过程中发生事故的风险,因为加密内容对于没有正确密钥的第三方来说基本上是不可读的。
“加密”对企业应对安全事故有什么帮助?
加密是在传输过程中保护数据的最佳方式,也是保护存储的个人数据的一种方法。它还降低了公司内部滥用的风险,因为访问仅限于具有正确密钥的授权人员。
企业选择使用个人数据加密,可以降低数据泄露的可能性,从而降低未来的罚款风险。个人数据的加密对数据控制者和数据处理者具有额外的好处。例如,企业丢失了保存的个人数据时,加密移动存储的数据不一定被认为是数据泄露,但必须向数据保护机构报告。此外,如果存在数据泄露,当局在决定罚款金额时,应积极考虑是否按照GDPR规定使用加密。GDPR的第83(2)(c)条(实施行政罚款的一般条件)。
最后,个人数据的处理安全始终与风险相关。特别是现在,对于规模以上的公司来说,网络攻击几乎是不可避免的。关于数据处理,以及处理安全和“加密”对应的风险管理在网络安全中发挥着越来越大的作用,数据加密也越来越引起企业高管的重视,尤其是对数据规模量大的企业来讲,更需要有数据“加密”保护措施。希望以上内容对您企业的发展有帮助。
PS:文章根据GDPR官方文案翻译整理https://gdpr-info.eu/issues/consent/,欢迎关注SCA官方微信公众号“奥航智讯”留言讨论。SCA始终关注安全通信和身份认证领域,为信息安全领域提供中立、专业的认证咨询服务。2019年12月,SCA将举办“智能产品出口海外信息安全技术合规专题培训”,有意参加者欢迎来电咨询!
TEL:021-51099961
Email:jessica.yang@smart-alliance.com
更多GDPR相关内容请点击下方链接查看。
GDPR从数据主体处收集信息时的信息提供,应包含哪些内容?怎样做才合规?
