Pre*_*col 7 database security data-protection
GDPR规定个人数据必须:
这些措施可能包括假名,只要这些目的能够以这种方式实现.如果通过不允许或不再允许识别数据主体的进一步处理来实现这些目的,则应以这种方式实现这些目的.
在正常的工作流程中,这些数据通常是假名的,因为数据库上有一个表格,其中个人数据的ID将在其他数据中用作外键,但在发生安全漏洞的情况下,如果数据库被盗,则个人数据不再是假名.
这是否意味着我们需要拥有另一个包含个人数据的数据库?
编辑
增加了第32条
考虑到现有技术水平,实施成本以及处理的性质,范围,背景和目的以及自然人权利和自由的可能性和严重程度各不相同的风险,控制者和处理者应实施适当的技术和组织措施,以确保适合风险的安全水平,除其他外,酌情包括:
(a)个人资料的假名加密及加密; ...
[ 除其他外,酌情包括在内 ]
免责声明: \n我不是这个主题的律师或权威,只是从使用过“假名”用户数据库的开发人员的角度分享我对此的想法。
\n\n牛津英语词典对假名的定义是:
\n\n\n\n\n虚构的名字,尤其是作者使用的名字。\n \xe2\x80\x98我以 Evelyn Hervey\xe2\x80\x99 的笔名撰写
\n
因此,在 GDPR 的背景下,假名似乎可能意味着个人的一些虚构名称,除非与其他信息结合使用,否则无法识别该个人的身份。正如您所建议的,一个具体的例子可能是一个用户 ID,它在某个表中对个人数据进行索引。
\n\n好的,那么对于你的问题,这个表应该隔离在它自己的数据库中吗?
\n\n该法规提供了自己的假名定义,并在此提供了一些说明:
\n\n\n\n\n(5) \xe2\x80\x98假名化\xe2\x80\x99是指以这样的方式处理个人数据,即在不使用附加信息的情况下,个人数据将不再归属于特定数据主体,前提是此类附加信息信息单独保存,并受到技术和组织措施的约束,以确保个人数据不归属于已识别或可识别的自然人;
\n
为什么强调分离?
\n\n我们知道 GDPR 非常注重保护用户隐私。
\n\n如果仅在允许在假名与其引用的个人之间建立对应关系的上下文中使用假名,则不提供隐私。
\n\n所以需要一些分离。我的理解是,所需的分离程度和执行所需的安全级别应该是您所持有的数据的敏感性以及系统的某些孤立部分受到损害时所提供的影响缓解措施的函数。
\n\n因此,对于您的示例,如果将个人数据存储在单独的数据库中,无论出于何种原因,都允许您将系统的某些离散部分限制为仅访问用户 ID,那么如果系统的该部分受到损害,您只会暴露用户 ID我们可能期望 GDPR 会更青睐这一点。
\n