一、目的

在开展一个涉及用户隐私信息的新产品、产品的新功能、内外部的新流程(以下统称为“项目”)的早期阶段,需要对项目进行相应的隐私阈值分析(PTA),以帮助项目人员充分了解项目在隐私合规中所产生的影响。同时,在一定条件下进行的隐私影响评估(PIA)和数据保护影响评估(DPIA)能帮助项目人员充分了解项目在隐私数据收集与处理中所产生的风险。

二、适用范围

适用于所有新项目、项目的新功能、内外部新流程。

三、评估说明

3.1 隐私阈值分析(PTA)

应明确隐私阈值分析(PTA)期间涵盖的基本信息。包括项目描述、涉及的隐私数据、项目的开始日期与项目周期、项目的责任部门。

3.2 隐私影响评估(PIA)

从业务和合规性角度考虑,明确何时启动隐私影响评估(PIA)。同时,明确触发启动PIA评估的原因,原因包括该项目是否收集了新的用户信息、是否进行了新的隐私数据处理、是否涉及与其他服务提供商共享数据。

3.3 数据保护影响评估(DPIA)

依据PIA评估的结果,从隐私数据敏感处理的角度考虑,明确何时启动数据保护影响评估(DPIA)。同时,依据PIA评估的报告,明确触发DPIA评估的原因。

四、评估流程

4.1 评估准备

在评估的每一步,包括确定进行隐私阈值分析(PTA)的必要性、填写评估问卷、审查评估问卷、必要时提供信息安全审查和法律审查、批准评估等,都应当明确落实由哪个团队或哪个部门负责。

4.2 评估流程图如下:

五、如何进行PTA

5.1 评估方式

填写PTA评估问卷

5.2 PTA评估结果分析

如果生成的PTA报告中有任何一项评估条例表明需要启动PIA评估,以查明和弥补所存在的问题,则进行PIA评估。如果生成的PTA报告表明没有数据或隐私问题,则无需采取进一步措施。

六、如何进行PIA

6.1 评估方式

填写PIA评估问卷

6.2 PIA评估结果分析

通过PIA问卷来判定潜在风险,以决定是否需要进行完整的DPIA评估。如果潜在风险认定需要进行DPIA,则进行DPIA评估;如潜在风险认定不需要进行DPIA,则进入总结阶段。

七、如何进行DPIA

7.1 评估方式

填写DPIA评估问卷

比较官方的一个DPIA评估问卷模板:https://ico.org.uk/media/for-organisations/documents/2553993/dpia-template.docx

7.2 DPIA评估结果分析

通过DPIA问卷来发现潜在的风险,并对其进行修复弥补。

八、总结

在项目上线之前,评估小组应依据以上过程中给出的评估建议,确认所有已发现的风险都已经降低到了可控的水平。在确认所有已发现的风险都已经得到修复后,项目评估通过。同时应总结项目中产生风险的原因,吸取经验,避免以后项目中再次产生这样的风险。

最后,应明确被评估项目的参与人员名单和扮演的角色,如项目DPIA负责人、项目经理、项目成员等。并在最终由DPO签署评估报告,项目准许上线。

安全合规/GDPR--21--我们是如何开展PTA、PIA、DPIA风险评估的相关推荐

  1. 神策数据全面支持出海客户合规 GDPR!

    5 月 25 日,欧盟通用数据保护条例要求(GDPR)正式生效,GDPR 被誉为有史以来规模最大,也是最具惩罚性的隐私法之一.GDPR 对于信息治理和数据隐私保护的认知更加深入,相关模型和规定更为明确 ...

  2. 安全合规/GDPR --19--GDPR实施中的高风险处理类别

    本文为GDPR第30条相关的说明之一 GDPR要求组织在两种情况下评估高风险的存在: DPIA:是否必须进行数据保护影响评估以及是否需要事先进行DPA咨询 数据泄露:无论是个人,必须数据泄露通知 欧盟 ...

  3. 安全合规/GDPR--27--我们通过了GDPR合规认证

    Number one 首先,GDPR是一个数据隐私保护条例,类似法律那种的一个东西,是需要你无条件遵守的,因此并没有官方给你发证书这么一说,违反了它你吃罚款就是.于是,大家在欧洲开展业务就变得小心翼翼 ...

  4. 欧洲通用数据保护条例(GDPR)合规的6个步骤

    两年后会发生很多事情.2018年人们将目睹首例人类头颅移植手术.据调查机构IDC的预测,无论英国脱离还是不脱离欧盟,其组织数据的流量将增加五倍. 而两年另一个重大的进展是,由于2018年欧洲新规定的个 ...

  5. 手机 app GDPR 合规的9个关键步骤

    1. Think about the data you collect from users 从用户收集了什么信息,这些信息是否是必须必要的.邮件,电话,地址.... 2. 分析如何处理这些信息.如何 ...

  6. 安全合规/GDPR--25--研究:GDPR合规的培训宣讲与监督审计

    一.合规培训及宣讲 定期对企业的董事.高管.雇员和第三方开展多元化的GDPR培训是企业进行有效的GDPR合规的重要环节,也是监管机构在评估企业内部GDPR合规制度有效性的主要关注点之一.可以针对不同的 ...

  7. 安全合规/GDPR--23--研究:GDPR风险评估与组织架构保障

    一.风险评估 风险评估贯穿于企业GDPR合规制度的建立.实施以及更新完善的每一步,也是企业判断GDPR合规制度是否必要以及如何建设的首要步骤.合规初期,企业进行GDPR风险评估的重点主要为: (1) ...

  8. 安全合规/GDPR--24--研究:GDPR合规体系设立与执行

    企业实施GDPR合规业务,除进行整体合规风险的评估以及组织架构的搭建之外,更为关键的是如何在企业的具体事项上落实GDPR的具体要求. 一.GDPR合规制度的设立与健全 1.1 保障个人数据主体的权利 ...

  9. 安全合规/GDPR--22--研究:GDPR的立法背景、要点概述、执法行动及评估

    一.立法背景 最初的前身是<1981年个人数据保护公约>.之后它发展成为<1995年个人数据保护指令>(以下简称"95指令"),最后在2016年,产生了&l ...

  10. GDPR合规|数据控制者与数据处理者区别大吗?分别承担什么法律责任?

    学习过GDPR的同学都知道,GDPR条文中不仅有数据控制者,还有数据处理者,很多人疑惑,这两个名词在法律上是指同一个角色吗?两者之间的法律责任一样吗?GDPR分别对他们有什么要求?事实上,数据控制者和 ...

最新文章

  1. 0.0 Introduction-机器学习笔记-斯坦福吴恩达教授
  2. Boost::context模块callcc的解析器测试程序
  3. @程序员,如何轻松实现数据可视化?
  4. mysql导出csv 分隔符_导出到CSV文件,CSV文件好像是以逗号为分隔符的吧?如果数据库字段里含有逗号怎么处理?比如说下面这个字...
  5. DOCKER镜像仓库地址
  6. python手机号信息查询身份证_Python使用xpath爬虫查询身份证信息和手机号信息并写入Excel表格...
  7. STM32F205通过SDIO和SPI读写SD卡文件
  8. 笔记本摄像头频闪频灭
  9. win10如何合并硬盘分区
  10. 超酷炫技:10 个牛逼的单行代码编程技巧
  11. mysql limt取指定数据条数 top取指定数据条数
  12. signal信号值对应表
  13. 电脑使用者的眼睛保护
  14. unity3D之简单的碰撞检测 .
  15. 22、python数据处理虚拟变量的转化
  16. OpenJudge-魔兽世界终极版
  17. 用化学绘图软件写带括号的分子式的方法
  18. UVC webcam驱动添加分辨率
  19. java_Web学习01
  20. 美国容错服务器维修,E-PAR Server容错服务器解决方案

热门文章

  1. Java知识总结目录总纲
  2. timestamp(时间戳)详解
  3. python3.8 百度网盘下载
  4. iOS13正式版来了,付刷机方法教程,苹果关闭iOS12.4验证通道
  5. Android高德地图如何禁止地图在拖动时发生旋转.
  6. ArcGIS Maritime Server 开发教程(一)了解 ArcGIS Maritime Server
  7. 公务员面试之综合分析真题解析
  8. 有了它,你也能练出马甲线
  9. pdf翻译成中文,怎样翻译比较好?
  10. 【算法记录】梅式砝码问题