First Dataset

了解数据保护——技术和组织措施的充分性。

介绍

在之前的博客文章中，我们一般讨论技术和组织措施 (TOM) 这一主题。今天，我们想更深入地探讨这个话题，并回答何时 TOM 提供的保护级别才被认为是足够的问题。该问题与个人数据保护遭到违反后可能出现的责任索赔高度相关。公司应该了解在责任案件中采取的措施何时才足以被视为适当。

内容：
什么是足够的数据保护级别？
决定保护水平是否充分的最重要因素
最先进的技术是什么意思？
比例性
保护级别充分性的示例
结论
信任越多，风险越小。
通过严密的数据保护让您的客户信服，减少审计工作量并降低您的责任。立即计算您的定制价格。


什么是足够的数据保护级别？
GDPR 第 32 条并不要求严格的、具体的保护级别。必须考虑到每个个案的风险。适用于相关个案的具体保护级别是根据一系列因素确定的。为了确定适当的保护级别，必须在这些因素之间取得平衡。下一章将更详细地讨论这些因素。

对于数据保护的保护水平是否充分，存在不同的观点。与其他与 TOM 相关的问题一样，足够的保护级别受 GDPR 第 32 条的管制。 GDPR 的其他一些条款也很重要，例如第 9 条，其中定义了特别值得保护的数据类别，以及 GDPR 的序言。主要包括：第 75 项关于自然人权利和自由的风险、第 76 项关于风险评估、第 77 项：风险评估指南、第 78 项关于适当的技术和组织措施、第 83 项关于处理安全的条款。第 78 条为数据保护设计原则和数据保护友好型默认设置等措施提供了基础。第 78 条还给出了数据最小化、假名化、处理透明度和监控数据主体的可能性原则作为安全措施的例子。第 83 段对此添加了加密。第 83 条还列出了进行风险评估应依据的标准（最新技术、实施成本等），并确定了需要预防的最重要的风险——破坏、丢失、更改或未经授权的披露（更多内容见下文）。


首先，与处理相关的风险（GDPR 第 32 条第 1 款 a）是相关的。每个处理的风险都是单独的。必须考虑处理的性质、范围、背景和目的。一般来说，评估风险必须确定两点：潜在损害的 罗马尼亚号码数据 严重程度及其发生的概率。要预防的风险尤其包括对传输、存储或以其他方式处理的个人数据的破坏、丢失、更改、未经授权的披露和未经授权的访问。

发生概率

这里的目的是回答这样的问题：发生数据处理事件并导致上述风险的可能性有多大。例如，运营经验可以帮助评估。发生的概率越大，相应的防护等级就必须越高。

严重程度

损害的严重程度主要取决于数据的敏感性。数据越敏感，潜在的损害严重性就越大。根据GDPR，特别敏感数据包括揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员资格的个人数据、基因数据、用于唯一识别自然人的生物特征数据、健康数据、自然人的性生活或性取向数据、以及犯罪定罪和犯罪数据。