文章分类
如果公司选择使用个人数据加密,则可以降低数据泄露的概率,从而降低未来罚款的风险。处理个人数据自然会带来一定程度的风险。尤其是如今,对于规模以上的公司来说,网络攻击几乎是不可避免的。因此,风险管理在IT安全方面发挥着越来越大的作用,数据加密尤其适用于这些公司。
一般来说,加密是指使用密钥将明文转换为哈希代码的过程,其中传出的信息只有通过使用正确的密钥才能再次变得可读。这将数据处理过程中发生事故的风险降至最低,因为没有正确密钥的第三方基本上无法读取加密内容。加密是传输期间保护数据的最佳方式,也是保护存储的个人数据的一种方式。它还降低了公司内部被滥用的风险,因为访问权限仅限于拥有正确密钥的授权人员。
该条例还承认在处理个人数据时存在这些风险,并根据《一般数据保护条例》第32(1)条规定,控制者和处理者有责任实施适当的技术和组织措施来保护个人数据。GDPR故意没有定义在每种情况下适用的具体技术和组织措施,以适应个别因素。然而,它为控制员提供了一系列在选择保护个人数据的方法时要考虑的标准。这些是最新技术、实施成本以及处理的性质、范围、背景和目的。除了这些标准外,还必须考虑数据主体的权利和自由面临的风险的严重性,以及这些风险可能表现的可能性。这基本上可以归结为以下几点:数据处理中涉及的风险越高,这些风险越有可能显现出来,所采取的安全措施就越有力,必须采取的措施也就越多。在GDPR第32(1)条列表中,加密作为一个概念被明确提及为保护数据的一种可能的技术和组织措施,但并非详尽无遗。同样,GDPR没有提到适应快节奏技术进步的显式加密方法。选择方法时,还必须应用上述标准目录。为了回答目前被视为“最先进”的问题,数据保护官员通常依赖于信息安全标准(如ISO/IEC 27001)或其他国家IT安全指南中规定的定义。
个人数据加密对控制器和/或订单处理者具有额外的好处。例如,保存个人数据的最先进加密移动存储介质的丢失不一定被视为数据泄露,必须向数据保护机构报告。此外,如果存在数据泄露,当局必须在决定是否根据GDPR第83(2)(c)条处以罚款以及罚款金额时积极考虑使用加密。
适用于GDPR文章
- Art. 6 GDPR Lawfulness of processing
- Art. 32 GDPR Security of processing
- Art. 34 GDPR Communication of a personal data breach to the data subject
Suitable Recitals
External Links
Authorities
- Article 29 Data Protection Working Party ► WP 243 – Encryption (Link)
- Data Protection Authority France ► Security of personal data, Page 23 (Link)
- Data Protection Authority UK ► Guide to the GDPR – Encryption (Link)
- Data Protection Authority UK ► Guide to security – Encryption (Link)
Expert contribution
- 登录 发表评论