站在技术角度,如何落地GDPR?需要考虑哪些点?如何有步骤的执行?为了帮助Web和App开发者实现GDPR合规,法国CNIL在2020年发布了《GDPR developer's guide》,并在GitHub上做了开源,吸引专业人士贡献补充。此处附了原文链接。
指南分为16个主题表,涵盖了开发人员在项目各个阶段的大部分需求,从开发准备到分析的使用。在说明中也提到了这个指南中的优秀实践并非旨在涵盖法规的所有要求,它们提供了一级指引,以考虑IT开发中的隐私保护问题,可以应用于所有数据处理项目。但是根据在某些情况下考虑到数据处理的实际情况,还是要采取额外措施才能完全遵守规定。
Sheet n°1: Identify personal data
理解什么是个人数据,什么是匿名化,什么是假名化,做好敏感数据识别
Sheet n°2: Prepare your development
从设计阶段开始,必须将个人数据保护原则纳入IT开发,做好PIA
Sheet n°3: Secure your development environment
生产、开发和持续集成服务器以及开发人员工作站的安全必须是优先事项,因为它们集中访问大量数据,强调密钥管理。
Sheet n°4: Manage your source code
无论你的项目规模如何,强烈建议使用源代码管理工具,如版本控制系统,来跟踪其不同的版本。强调了不要上传个人敏感信息。
Sheet n°5: Make an informed choice of architecture
设计好应用架构,强调了服务器所在地的选取,考虑跨境传输的合规风险,做好RoPA
Sheet n°6: Secure your websites, applications and servers
做好应用安全,包括传输加密,服务鉴权等
Sheet n°7: Minimize the data collection
您只能收集在收集时定义的与处理目的相关的充分、相关和必要的个人数据。一旦收集了个人数据,就要考虑自动化删除机制。
Sheet n°8: Manage user profiles
做好数据访问控制和访问审计,包括合作方和内部员工。
Sheet n°9: Control your libraries and SDKs
保障软件供应链安全,包括做好三方SDK的管理,定期审计第三方。
Sheet n°10: Ensure quality of the code and its documentation
保障代码质量和文档,提高代码可维护性。
Sheet n°11: Test your applications
做好应用测试,减少个人信息泄漏风险。
Sheet n°12: Inform users
《通用数据保护条例》的透明度原则要求,与个人数据处理有关的任何信息或通信都应简洁、透明、可理解,并易于用简单明了的语言获取。做好告知与同意。
Sheet n°13: Prepare for the exercise of people’s rights
您处理其数据的人员对其数据享有权利:访问权、更正权、反对权、删除权、数据可移植性和限制处理权。你必须给他们有效行使权利的手段,并在你的计算机系统中提供技术工具,使他们的权利得到适当考虑,做好DSR。
Sheet n°14: Define a data retention period
个人数据不能无限期保存:必须根据处理目的进行定义。一旦实现了这一目的,就应该对数据进行归档、删除或匿名(例如,为了产生统计数据),做好数据留存管理。
Sheet n°15: Take into account the legal basis in the technical implementation
加工数据要考虑合法性事由,对于不同的合法性事由要考虑设置相应权利响应机制。
Sheet n°16: Use analytics on your websites and applications
如果用了第三方的网站分析服务,涉及到Cookie,注意ePrivacy的规定,做好Cookie Consent
