2019年11月13日,欧洲数据保护委员会(EDPB)通过了《按设计和默认进行数据保护的准则(DPbDD)》以进行公众咨询(在这里链接),直到2020年1月16日为止,并根据GDPR第25条对构成DPbDD的组件进行了深入分析。下面重点介绍一些关键定义。

背景

DPbDD是指有效实施数据保护原则和数据主体的权利和自由 通过设计和默认。管制员必须能够证明他们已经有效地采取了适当的技术和组织措施及保障措施。与追溯方法相比,从项目计划或产品设计的开始就纳入此类措施,并在启动阶段嵌入数据保护的考虑因素更为有效和积极。这意味着必须从一开始就将数据保护实践和注意事项“融入”业务实践和处理活动中。尽管DPbDD主要涉及控制者,但建议处理者和其他各方与控制者合作以履行后者根据GDPR第25条所承担的义务。

指南中的重点

通过设计保护数据

  • “按设计”的数据保护适用于涉及个人数据处理的新服务系统,流程或产品的开发。它还涉及以增加收集或处理的个人数据的范围或性质的方式扩展现有此类系统或过程。
  • 通过设计整合数据保护涉及(1)实施旨在实施数据保护原则的适当技术和组织措施,以及(2)将必要的保护措施集成到处理过程中,以满足GDPR要求并保护数据主体的权利。 “有效性”在这里很关键:通用的文件合规性措施将不够;此类措施(例如,对个人数据进行假名化)必须稳健,并且在存在违规风险时能够扩大规模。控制器还可以确定适当的KPI(例如指标)以证明有效性。
  • 除上述内容外,保护措施还可以作为第二层保护,以在处理过程中保护数据主体的权利和自由,并确保数据保护原则从处理周期的开始到结束均有效。保障措施的例子包括:使个人能够干预或选择退出某些程序;提供有关存储哪些个人数据的自动和重复信息;在数据存储库中有保留提醒;并对员工进行网上诱骗和基本的“网络卫生”等方面的培训。
  • 时间方面:必须在“确定处理手段时”实施设计保护数据,即在确定处理过程的决策过程中评估适当的措施和保护措施。处理开始后,控制者将继续承担维持有效执行权利和原则的义务。这就需要通过定期审查和评估其措施和保障措施的有效性来重新评估加工作业。

默认情况下的数据保护

  • 数据保护“默认”是指应用个人数据最小化和目的限制的中心数据保护原则。优先考虑数据隐私应该是控制器在如何处理个人数据以实现其目的方面做出的选择的中心。因此,对于“技术和组织措施”,控制者必须预先确定收集和处理个人数据的目的,并且仅处理该目的所需的内容。
  • 这些措施“默认情况下必须适当以确保仅处理处理每个特定目的所必需的个人数据” –这不仅适用于收集的个人数据量,而且适用于处理的程度/频率,在存储期间以及对个人数据的可访问性等方面。管理员还不得忘记,在处理过程中,信息安全“始终是所有系统,传输,解决方案和选件的默认设置”。
  • EDP​​B还着重介绍了在实施DPbDD时要考虑的关键DPbDD要素清单:例如处理数据主体时的透明度;处理的合法性;加工过程中的公平性; GDPR第5.1b和6.4条规定的目的限制; GDPR第5.1c条规定的数据最小化原则; GDPR第5.1d条规定的个人数据的准确性;储存限制;以及完整性和机密性(安全性原则)以增强数据处理的弹性。

评论

指南的主要内容是“有效性” –控制器必须具有战略性,必须尽早开始(在处理开始之前),与设计和实施团队合作以合并数据保护元素,将可能发生的所有成本内部化在实施过程中,并与处理器和其他各方(例如技术提供商)一起工作,以确保它符合DPbDD。

我们正在密切关注磋商结果,该结果于2020年1月16日在本周结束,因此请定期检查。