尽管 GDPR 提出了严格的安全要求,但它也为满足这些要求提供了指导。

化名是这种指导的一个例子。如果您不熟悉该术语,GDPR 对它的定义如下:

“以这种方式处理个人数据,即在不使用额外信息的情况下,个人数据不能再归属于特定数据主体,前提是此类额外信息单独保存,并受技术和组织措施的约束,以确保个人数据不属于已识别或可识别的自然人。”

GDPR 将假名识别为一种机制,“可以降低相关数据主体的风险,并帮助控制者和处理者履行其数据保护义务。”

但是,重要的是要注意假名数据不是匿名数据。匿名数据可以 绝不 可追溯到个人,因此,GDPR 不将其视为个人数据。

然而,化名数据, 理论上可以追溯到一个人.由于重新识别个人身份所需的不同信息集存储在不同的位置,因此这种风险有所降低,但仍然存在需要注意的风险。

化名如何帮助您的组织

简而言之,化名是您的组织实现特定 GDPR 条款合规性并为个人数据添加额外安全层的一种方式。

例如,第 25 条建议化名有助于组织实施数据最小化的数据保护原则。这有助于满足第 25 条在处理数据时保护数据的要求。

基本上,当您确定将如何处理数据以及实际处理该数据时,您需要采取足够的安全措施来保护它。 GDPR 将此称为“设计和默认数据保护”,并将假名识别为实现它的明确方法。

此外,假名化可以防止数据处理的固有风险。

第 32 条规定“控制者和处理者应采取适当的技术和组织措施,以确保与风险相适应的安全级别”,包括“个人数据的假名化和加密”。

同样,我们认为假名化是降低个人数据风险的明显赢家。

此外,如果您正在“出于公共利益、科学或历史研究目的或统计目的的存档目的”处理数据,则该数据“受到适当的保护......以确保尊重数据最小化原则。”

假名化是这些保护措施的一个潜在组成部分,“前提是这些目的可以以这种方式实现。” (第89条)

GDPR 鼓励组织关注其特定的风险水平,但并不害怕将假名识别为降低风险的潜在手段。

关于化名你应该知道什么

仅仅因为数据进行了假名化并不意味着它不再受 GDPR 的严格处理要求的约束。

第26条规定:“经过化名处理的个人数据,可以通过附加信息归属于自然人的,应当视为可识别自然人的信息。”

因此,虽然假名化可以为数据处理增加一层安全性,但 GDPR 仍然规定它是个人数据,应如此对待。

GDPR 合规性不仅需要了解其组成部分(例如假名),还需要清楚了解数据安全的大局。 LBMC 的 GDPR 合规服务可以帮助您准确确定 GDPR 如何适用于您的组织以及您可以如何为此做好准备。

今天就联系我们 详细了解 GDPR 对贵公司的意义以及如何保持合规。