刚刚找到这个new regulation,它将成为2018年的法律,并影响任何存储欧盟公民数据的人,可以用来识别一个人。更多细节here。
我有一个不存储姓名和确切地址的页面,但它将出生日期和国家/城市存储为位置,并使用这两个来提供服务(这是核心服务,所以我不能停止收集这些数据)。
据我所知,我必须采取一些行动以确保遵守GDPR,但我没有找到合理的解释。有十几篇文章重新阐述了GDPR的段落,这根本没有帮助。
我不介意完全删除,解释我存储给用户的数据和类似点......我最担心的是关于匿名数据的部分,所以在违规的情况下,它们不能用于识别一个人。我该怎么做?如果我存储用于验证用户帐户的电子邮件地址,并通过PK将出生日期和位置数据与已验证的电子邮件联系起来,那么它们就不再是匿名的...而且它们不可能,对吧?
是否考虑过成为符合GDPR标准的实用解决方案?
答案 0 :(得分:7)
最终,在英国,GDPR将由ICO - 信息专员办公室执行。虽然有些规定非常明确,但有关匿名化的文章可以解释,我们可能只会完全理解ICO执行与之相关的案件后如何划线。说过their site上有很多好消息。
他们也是英国的一群学者,为ICO和企业(免费)提供有关匿名化的建议。他们称之为UK Anonymisation Network - UKAN。我和他们进行过网络会议 - 他们很棒。
如果使用标准加密技术将数据静态存储,则不太可能需要对数据进行匿名处理。如果您与第三方共享任何数据,匿名化可能会派上用场。如果系统遭到破坏,您可以证明您已采取尽可能多的步骤来降低风险。
匿名化很困难,有大量个人的例子被重新识别出来,并且是匿名的。数据集通过引用公开可用的数据集或较差的匿名化。关于实现这一工具的方法,我可以推荐的是我的 - Anon AI。我们目前仍在构建产品,但我们将解决匿名化的复杂性,以便您可以使用简单的命令对数据进行匿名化。
将原始数据推送到本地软件或网络服务;
anon push {path to your db dump} {reference name}
将匿名版本拉下来;
anon pull {reference name}
如果您希望尽早访问,请告诉我。
答案 1 :(得分:1)
我同意上述内容 - GDPR对于隐私权和数据控制来说是一件好事 - 我也同意有一百万个网站只是改写gdpr! 在实际步骤方面,ICO本月将发布更多指导意见。但是,首先确定您处理的用户数据,是否合理的原因以及是否要求EXPLICIT允许以这种方式使用该数据是有道理的。除此之外,您还应该考虑如果要求删除数据。
有些服务会保留opt ins的独立记录,并提醒您注意数据漏洞。在某些情况下,Anonomisation有效,在其他情况下,如果您有权限,那么您需要的只是删除过程和审计跟踪。