GDPR解读(3):处理个人数据的基本原则(6+1)

U2      2020-01-25 16:26      3251     

GDPR第5条规定了六项处理个人数据的原则以及一项对数据控制者的问责制(也可以合称为七项原则)。

处理个人数据的基本原则

这六项原则具体包括:

  • 合法(lawfulness)、公正(fairness)、透明(transparency):个人数据应当以合法、公正、透明的方式处理(注:如果数据处理可能引起对某些数据主体的歧视,如价格歧视,可视为公正性受到影响;透明则主要体现在保障用户的知情权和明示同意方面)。
  • 限定目的(purpose limitation):收集的数据只能用于限定的目的。
  • 数据最小化(data minimisation):仅收集必要的数据(注:例如某计算器应用需要读取用户的通讯录,则明显不符合数据最小化原则)。
  • 准确(accuracy):个人数据应当准确(注:例如消费记录和余额显示,如果数据不准,明显会给用户带来恐慌)。
  • 留存期限限制(storage limitation):已达成数据处理目的,不再需要留存的数据应在合理的留存期到期后及时清理。
  • 完整性和保密性(integrity and confidentiality):采取适当的技术或组织措施来防止未授权的访问,防止数据被破坏或丢失。

问责制(accountability),即数据控制者有责任且能够证明自身合规,包括隐私保护政策文件、实施的技术与组织措施、处理个人数据的记录、任命DPO、隐私保护设计(Privacy by Design)、PIA(隐私影响评估报告)、通过隐私保护认证、遵守已批准的行为准则等,在必要时提供给监管机构。

本文地址: https://www.janusec.com/articles/privacy/1579940799.html (转载请注明出处)


评论区(共0条评论)
Copyright ©2020 金汤智库(JANUSEC) All rights reserved.