2020年10月20日,欧洲数据保护委员会(EDPB)召开了第40次全体会议。在会议期间,EDPB通过了有关按设计和默认方式进行数据保护的最终指南(DPbDD)(可用 这里)(准则)。请参阅我们关于DPbDD准则草案的博客文章,网址为 这里.

快速提醒一下,遵守DPbDD的义务已在Art。 25 GDPR,规定管制员必须证明他们具有:

  • 从一开始就建立了合规措施,包括适当的技术和组织措施,在处理个人数据期间(通过设计)对其进行持续监控和更新;和
  • 考虑到他们的处理活动,以便仅处理特定目的所需的个人数据(默认情况下)。

该指南展示了如何有效地执行Art中规定的与处理个人数据有关的原则。 5 GDPR,列出关键设计和默认元素以及实际示例,并且控制者必须能够证明所实施措施的有效性。

我们先前在讨论DPbDD准则草案时曾提到,虽然DPbDD主要涉及控制者,但也建议处理者和与控制者一起工作的其他各方注意,因为证明遵守此类义务本身可能是获得竞争优势的一种手段。 EDP​​B在其指南中的新闻稿中重申了这一点。

该指南还提供有关控制器,处理器和第三方如何合作以实现DPbDD的建议。例如,他们应该尽早与数据保护官合作,考虑使用认证和/或行为准则来证明合规性,并考虑在处理器上实施合同要求,以帮助控制者进一步证明其对DPbDD和责任制的遵守。宽广地。