数据最小化是信息安全尤其是GDPR(通用数据保护条例)的关键部分。其原则是有效数据保护实践的核心,旨在防止隐私泄露并最大限度地减少安全事件发生时的损失。
01
什么是数据最小化?
数据最小化要求组织仅在服务于特定目的时处理个人数据,并且仅在满足该目的所需的时间内保留它。
GDPR 第 5(1) 条提供了进一步的指导,解释说组织在处理个人信息时应考虑三个因素:
充分性:已处理的个人数据是否足以实现你声明的目的?
相关性:信息与该目的有明确的联系吗?
必要性:你是否拥有比实现该目的所需的更多信息?
02
满足要求
GDPR 并未就满足充分性、相关性和必要性门槛的实践类型提供具体指导。这是因为答案将取决于处理和使用个人数据的具体情况。
因此,组织必须证明其处理实践的合理性,并解释为什么它们符合数据最小化准则。
解决该问题的第一步是了解你想通过此数据处理活动实现什么目标。换句话说:所有这些信息将用来做什么?回答这个问题时应该尽可能具体,确定明确的目标。
如何学习充分了解欧盟隐私合规法?学习CIPP/E课程,其重点关注隐私法律法规的实际应用,了解欧洲数据保护导论、欧洲监管机构等知识及考核
03
需要注意什么?
ICO(信息专员办公室)针对 GDPR 的数据最小化要求提供了进一步的指导,并提供了合规性可能受到损害的情况的示例。
在一种情况下,ICO 描述了一家试图找到特定债务人的收债机构。在处理几个名字相似的人的信息后,它会找到合适的人。
此时,该机构必须删除其在搜索过程中收集信息的人的相关记录。然而,最好保留从搜索中删除的人员的基本记录,前提是它不打算再次联系他们。
ICO 强调,组织不能保留记录,以防它们将来有用。但是,如果它可以记录该信息在以后的数据中可能很重要的原因,则允许保留它。
在另一个例子中,ICO 描述了一群建立俱乐部的个人。起初,它只有少数相互认识的成员,并且活动是使用成员的姓名和电子邮件地址进行的。
随着时间的推移,俱乐部变得越来越受欢迎,管理员意识到他们需要有关其会员的更多信息,以便跟踪他们的会员状态和订阅付款。
ICO 指出,尽管该组织最初并不打算处理这些类型的数据,但它有权随着需求的变化而更改处理条款。
事实上,未能更改处理条款的组织实际上可能违反了其数据保护义务。如果他们没有足够的数据来执行必要的任务(例如跟踪订阅),那么他们的记录就不足以满足组织的目的。
如果组织根据对事实的不完全理解做出有关某人的决策,那么个人数据也可能被认为是不充分的。不完整或不准确的记录可能会导致信息被误解并做出错误的判断。
组织应通过定期审查其记录以确保数据准确且最新来防止这种情况发生。
信息安全合规如何学习合规知识?学习CIPT课程,学习安全软件产品、流程和服务的开发、保护数据免受任何损害所需的技能等专业知识。
04
满足您的数据最小化要求
数据最小化对于所有组织来说都是一项重要实践,但与 GDPR 的许多方面一样,这对营销部门来说是一个特殊的挑战。
这就是 IT 治理创建GDPR 和 PECR 的原因——为营销人员提供指南,帮助解释这些团队面临的困难。
文章整理于itgovernance.co.uk,由隐私合规交流圈 隐小私翻译整理,转发请备注出处
*整理编辑:A隐小私(yinxiaosi00)
在线客服
微信
