关注我们,学习更多隐私合规讯息
数据最小化是信息安全尤其是GDPR(通用数据保护条例)的关键部分。其原则是有效数据保护实践的核心,旨在防止隐私泄露并最大限度地减少安全事件发生时的损失。
01
什么是数据最小化?
数据最小化要求组织仅在服务于特定目的时处理个人数据,并且仅在满足该目的所需的时间内保留它。
GDPR 第 5(1) 条提供了进一步的指导,解释说组织在处理个人信息时应考虑三个因素:
充分性:已处理的个人数据是否足以实现你声明的目的?
相关性:信息与该目的有明确的联系吗?
必要性:你是否拥有比实现该目的所需的更多信息?
02
满足要求
GDPR 并未就满足充分性、相关性和必要性门槛的实践类型提供具体指导。这是因为答案将取决于处理和使用个人数据的具体情况。
因此,组织必须证明其处理实践的合理性,并解释为什么它们符合数据最小化准则。
解决该问题的第一步是了解你想通过此数据处理活动实现什么目标。换句话说:所有这些信息将用来做什么?回答这个问题时应该尽可能具体,确定明确的目标。
如何学习充分了解欧盟隐私合规法?学习CIPP/E课程,其重点关注隐私法律法规的实际应用,了解欧洲数据保护导论、欧洲监管机构等知识及考核
03
需要注意什么?
ICO(信息专员办公室)针对 GDPR 的数据最小化要求提供了进一步的指导,并提供了合规性可能受到损害的情况的示例。
在一种情况下,ICO 描述了一家试图找到特定债务人的收债机构。在处理几个名字相似的人的信息后,它会找到合适的人。
此时,该机构必须删除其在搜索过程中收集信息的人的相关记录。然而,最好保留从搜索中删除的人员的基本记录,前提是它不打算再次联系他们。
ICO 强调,组织不能保留记录,以防它们将来有用。但是,如果它可以记录该信息在以后的数据中可能很重要的原因,则允许保留它。
在另一个例子中,ICO 描述了一群建立俱乐部的个人。起初,它只有少数相互认识的成员,并且活动是使用成员的姓名和电子邮件地址进行的。
随着时间的推移,俱乐部变得越来越受欢迎,管理员意识到他们需要有关其会员的更多信息,以便跟踪他们的会员状态和订阅付款。
ICO 指出,尽管该组织最初并不打算处理这些类型的数据,但它有权随着需求的变化而更改处理条款。
事实上,未能更改处理条款的组织实际上可能违反了其数据保护义务。如果他们没有足够的数据来执行必要的任务(例如跟踪订阅),那么他们的记录就不足以满足组织的目的。
如果组织根据对事实的不完全理解做出有关某人的决策,那么个人数据也可能被认为是不充分的。不完整或不准确的记录可能会导致信息被误解并做出错误的判断。
组织应通过定期审查其记录以确保数据准确且最新来防止这种情况发生。
信息安全合规如何学习合规知识?学习CIPT课程,学习安全软件产品、流程和服务的开发、保护数据免受任何损害所需的技能等专业知识。
04
满足您的数据最小化要求
数据最小化对于所有组织来说都是一项重要实践,但与 GDPR 的许多方面一样,这对营销部门来说是一个特殊的挑战。
这就是 IT 治理创建GDPR 和 PECR 的原因——为营销人员提供指南,帮助解释这些团队面临的困难。
文章整理于itgovernance.co.uk,由隐私合规交流圈 隐小私翻译整理,转发请备注出处
*整理编辑:A隐小私(yinxiaosi00)
为何大企业都要选择含有GDPR知识的合规人才?一起来听听数据合规律师—LUNA老师从业经验分享及就业建议
如何学习法律、IT、人力资源、销售和营销、采购、财务和信息安全?一起了解注册信息隐私专家IAPP CIPP!
注册信息隐私专家CIPP
基本概念:
注册信息隐私专家(CIPP)是首个信息隐私方面的认证资质,它将向世界展示你知道隐私法律和法规以及如何应用它们,并且你知道如何确保在信息经济中的地位。
因各国(地区)数据安全政策不同,CIPP认证又分为CIPP/E(Europe)、CIPP/A(Asia)、CIPP/US(U.S. private-sector)、CIPP/C(Canada)和CIPP/G(U.S. Government)注释2等4个子类。
注释2:由于考试人数少且政策变化大,IAPP在2018年9月30日暂停了CIPP/G认证。
学习内容:
CIPP/E
Introduction to European Data Protection欧洲数据保护导论
European Regulatory Institutions欧洲监管机构
Legislative Framework立法框架
Compliance with European Data Protection Law and Regulation符合欧洲数据保护法律法规
International Data Transfers国际数据传输
CIPP/A
Fundamental Privacy Principles基本隐私原则
Singapore Privacy Laws and Practices新加坡隐私法律和实践
Hong Kong Privacy Laws and Practices香港私隐法和实践
India Privacy Law and Practices印度隐私法和实践
Common Themes Among Principle Frameworks原则框架中的共同主题
CIPP/US(U.S. private-sector)
Introduction to the U.S. Privacy Environment美国隐私环境简介
Limits on Private-sector Collection and Use of Data私营部门收集和使用数据的限制
Government and Court Access to Private-sector Information政府和法院对私人部门信息的访问
Workplace Privacy工作场所隐私
State Privacy Laws州隐私法
CIPP/C
Canadian Privacy Fundamentals加拿大隐私基础
The Canadian Government and Legal System加拿大政府与法律制度
Enforcement Agencies and Powers执法机构和权力
Canadian Privacy Laws and Practices in the Private Sector加拿大私营部门的隐私法律和实践
Canadian Privacy Laws and Practices in the Public Sector加拿大公共部门的隐私法律和实践
适用群体:
CIPP认证主要适用于隐私保护法律法规、合规性审查、信息管理、数据治理、人力资源等领域的从业人员
更多课程在线听讲
更多课程疑惑,扫描下方二维码解答 或+yinxiaosi00
-END-
国际隐私专业协会究竟是什么?点击下方视频,听老师讲述一下国际隐私协会的起源及发展,以及IAPP证书在隐私行业的影响力
更多课程在线听讲
学员经验
往/期/回/顾
■ DEPTH
想了解IAPP哪个证书适合你?
一起听老师讲IAPP证书选择
全套资料长按扫码领取
■ DEPTH
IAPP全套资料小程序领取
IAPP 国际隐私证书能考吗?
测一测是否满足IAPP报考资格
■ DEPTH
什么是IAPP国际隐私证?
一起了解IAPP证书
-End-
■ DEPTH
想知道IAPP哪个证书适合你吗?
资格评价可直接扫描码
免费评价/赠送一份国际隐私认证学习资料一份
感觉不错你就赞赞我吧!
点分享
点点赞
点在看
戳这个,领取IAPP备考资料