首页 > 其他分享 >GDPR——DPIA

GDPR——DPIA

时间:2025-01-16 15:21:45浏览次数:1  
标签:processing re DPIA risks data GDPR

GDPR发布以后,DPIA(Data Protection Impact Assessment)是数据控制者Data Controller 必须履行的一项安全职责(详见GDPR第35条)。

一、触发的时机:

DPIA应当前置评估,在如下这些场景实施前:

  • 使用新技术:If you’re using new technologies

  • 处理地理位置和行为信息(地理位置很容易理解,行为信息包括电子设备上的访问浏览行为信息):

    If you’re tracking people’s location or behavior

  • 大规模系统地监控公众空间(如:商场/街区/公共交通等公众空间的人脸监控、视频监控、智能监控等场景)

    If you’re systematically monitoring a publicly accessible place on a large scale

  • 处理个人相关数据(如:种族宗教、政治观点、生物遗传数据、健康和性取向数据等):

    If you’re processing personal data related to “racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation”

  • 自动化决策:If your data processing is used to make automated decisions about people that could have legal (or similarly significant) effects

  • 处理儿童数据:If you’re processing children’s data

  • 泄漏对人身安全造成隐患的:

    If the data you’re processing could result in physical harm to the data subjects if it is leaked

Notice

GDPR 生效日期(2018年5月28日)前的项目/数据处理过程是否需要DPIA?

“法不溯既往”,针对生效前的项目/活动不强制要求进行DPIA,但对一些可能造成high risk的数据处理活动仍然是建议的;此外下列这些情况也是建议执行DPIA的:

  • 在GDPR生效后数据处理操作发生了significant 的变化,使用了新技术、数据处理目的发生了变化, etc;
  • 风险/风险等级发生变化,如:data, supporting assets, risk sources, etc 发生变化带来的变化;
  • 组织或社会环境发生了变化:自动化决策影响的加剧(如:对信贷活动)、对社会相关群体造成了歧视、数据传输至脱欧国家(如:英国)。

最佳实践建议,每3年进行一次DPIA评估,活动、目的、环境等发生变化后需要重新进行DPIA。

二、How To

1、评估要点包括:

  • 系统描述业务流程、目的和合法利益(业务的正当性)

    A systematic description of the envisaged processing operations and the purposes of the processing, including, where applicable, the legitimate interest pursued by the controller

  • 处理流程的必要性和相称性(必要、不过量的信息)

    An assessment of the necessity and proportionality of the processing operations in relation to the purposes

  • 评估可能对数据主体权益造成损害的风险(如:数据泄漏、数据滥用,对财产、名誉、隐私等造成的危害):

    An assessment of the risks to the rights and freedoms of data subjects

  • 给出安全措施、证明满足GDPR要求:

    The measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with the GDPR, taking into account the rights and legitimate interests of data subjects and other persons concerned.

2、评估步骤:

- Identifying whether a DPIA is required.
- Defining the characteristics of the project to enable an assessment of the risks to take place.
- Identifying data protection and related risks.
- Identifying data protection solutions to reduce or eliminate the risks.
- Signing off on the outcomes of the DPIA.
- Integrating data protection solutions into the project.

官方文档模板:https://gdpr.eu/wp-content/uploads/2019/03/dpia-template-v1.pdf

3、哪些情况需要咨询DPC(监管机构)

  • 已识别的风险无法管理,并且剩余风险仍然很高;
  • 即使在前置工作流程中未咨询DPIA,在后续的审计或者调查过程中,DPC仍然可以查看企业DPIA及其过程信息。

标签:processing,re,DPIA,risks,data,GDPR
From: https://www.cnblogs.com/ffx1/p/18675027

相关文章

  • GDPR系统——监管体系
    欧盟各国家内有独立的监管机构,在面对跨境问题、跨国公司问题时,通过一致性机制来协调、共同决策。1、监管机构类比于国内网信办、工信部、四部委等监管机构,欧盟的机关单位有哪些呢?1)欧盟数据保护委员会(EuropeanDataProtectionBoard,EDPB):“最高委员会”是欧盟GDPR下的监管机构,......
  • GDPR——管辖权和域外效力
    判定企业是否需要遵循GDPR的要求,第一步需要判断是否属于GDPR的管辖范围。粗略讲分为两类:1、营业地在欧盟(域内):注册地、在欧盟区域设有办事处等分支机构2、营业地不在欧盟(域外):但针对欧盟公民处理数据(提供服务、监控等)进一步的判定如下:“营业活动”:指通过稳定的安排而实施地有效......
  • GDPR——数据控制者/处理者的职责
    合法合规前提/原则(PbD)PrivacybydesignDPIA数据出境数据共享/委托DPO(必须设立的三个场景、工作职责内容等)数据保护措施(加密、匿名化、去标识化等)履行数据主体的权利事件披露:数据泄漏上报72H内。流程?哪个机构?入口?文档模板?合作和监管1)组织建设欧盟境内设立代理人角色......
  • Sambruk 利用 NocoBase 实现瑞典教育资源的 GDPR 合规管理
    关于Sambruk在瑞典,有一半的城市是Sambruk的成员,并且61%的瑞典居民居住在参与Sambruk合作的市政区域内。Sambruk是一家位于瑞典的非营利组织,专注于推动和支持瑞典各地市政部门的数字化转型。其主要任务是通过协作和共享资源,帮助各个市政部门更高效地实现数字化。Sambru......
  • GDPR 学习笔记
    一、前言1、以GDPR为代表的监管条例GDPR(《通用数据保护条例》)于2018年5月25日生效,取代了欧盟的《数据保护指令》(DPD,95指令,1995年颁布),对欧盟所有成员国发生直接、统一、首要的效力。除GDPR之外,其他法规对欧盟制度下的企业也很重要。如,适用于电子通信行业中个人数据处理的《电......
  • 一文读懂GDPR
    GDPR将对人们的网络足迹、使用的APP和服务如何保护或利用这些数据产生重大影响。下面我们将对有关GDPR人们最关心的问题进行解读。 GDPR是什么?一般数据保护条例(GeneralDataProtectionRegulation)是一项全面的法律,赋予了欧盟居民对个人数据的更多控制权,并试图澄清在线服......
  • 当编译器没有SetProcessDpiAwareness()这个函数时...
    #include<Shlobj.h>intsetdpi(){//定义一个函数指针类型typedefHRESULT(WINAPI*SetProcessDpiAwarenessFunc)(intvalue);//加载Shcore.dllHMODULEhModule=LoadLibrary("Shcore.dll");if(hModule==NULL){//加载失败......
  • 关于GDPR体系文件介绍,介绍GDPR体系文件的内容和意义
    随着数字化时代的到来,个人数据保护成为了一个日益受到关注的问题。欧盟于2018年5月25日颁布了“通用数据保护条例”(GDPR),旨在加强对欧洲公民个人数据的保护。GDPR对企业和组织的数据保护和处理流程提出了严格的要求,并可对违反规定者进行高额罚款。本文将介绍GDPR体系文件的内容和意......
  • S/MIME 101:使用 S/MIME 轻松实现 GDPR 合规
    自GDPR生效以来,加密包含敏感个人数据的电子邮件已被广泛认为是企业运营的最佳实践。这应该不足为奇——欧洲的电子邮件与美国的电子邮件具有相同的漏洞,未加密的电子邮件......
  • ffmep报错:无法定位程序输入点SetThreadDpiAwarenessContext
    ffmep报错:无法定位程序输入点SetThreadDpiAwarenessContext于......ffmep.exe过程:安装vs sdito2015安装微软常用运行库合集解决方式:换一个ffmep版本 钻研不易,转载......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99