刚刚发现这项新规定,它将在 2018 年成为法律,并影响任何存储欧盟公民数据的人,这些数据可用于识别一个人。更多细节在这里。
我有一个不存储姓名和确切地址的页面,但它将出生日期和国家/城市存储为位置,并使用这两者来提供服务(这是核心服务,所以我不能停止收集这些数据) .
据我了解,我必须采取一些措施来确保遵守 GDPR,但我还没有找到合理的解释这意味着什么。有十几篇文章重述了 GDPR 的段落,这根本没有帮助。
我不介意完全删除,向用户解释我存储了哪些数据以及类似的点......我最担心的是关于匿名数据的部分,因此在发生违规时,它们不能用于识别一个人。我该怎么做?如果我存储一个用于验证用户帐户的电子邮件地址,并通过 PK 将出生日期和位置数据与该已验证电子邮件联系起来,它们就不再是匿名的……而且它们不可能是,对吧?
对符合 GDPR 的实际解决方案有任何想法吗?
最终,在英国,GDPR 将由 ICO - 信息专员办公室执行。虽然一些规定非常明确,但与匿名化有关的文章可以解释,我们可能只有在 ICO 强制执行与之相关的案件后才能完全理解界限是如何划定的。话虽如此,他们的网站上有很多很好的信息。
他们也是英国的一群学者,为 ICO 和企业(免费)提供关于匿名化的建议。他们被称为英国匿名网络- UKAN。我和他们进行了一次网络会议——他们很棒。
如果您使用标准加密来存储静态数据,则不太可能需要匿名数据。如果您与第三方共享任何数据,匿名化可能会派上用场。如果他们的系统遭到破坏,您可以证明您已采取尽可能多的措施来降低风险。
我同意上述观点——GDPR 对隐私权和数据控制来说是一件好事——我也同意有一百万个网站只是改写 gdpr!在实际步骤方面,ICO 本月将发布更多指导。但是,首先要确定您处理的用户数据、这样做的原因是否合理以及您是否已请求明确许可以这种方式使用该数据是有意义的。除此之外,您应该考虑如何在需要时删除数据。
有些服务会独立记录选择加入并提醒您注意数据漏洞。匿名化在某些情况下有效,在其他情况下,如果您有权限,那么您所需要的只是删除过程和审计跟踪。