GDPR合规性

Question

刚刚发现了这个new regulation，它将在2018年成为法律，并影响任何存储欧盟公民数据的人，这些数据可以用来识别一个人。更详细的here。

我有一个不存储姓名和确切地址的页面，但它存储了出生日期和国家/城市作为位置，并使用这两个来提供服务(这是核心服务，所以我不能停止收集这些数据)。

据我所知，我必须采取一些行动来确保符合GDPR，但我还没有找到合理的解释这意味着什么。有十几篇文章改写了GDPR的段落，这一点也没有帮助。

我不介意完全删除，解释我存储的数据给用户和相似的点…我最担心的是匿名化数据的部分，因此在数据被攻破的情况下，它们不能被用来识别一个人。我该怎么做呢？如果我存储用于验证用户帐户电子邮件地址，并通过PK将出生日期和位置数据与验证的电子邮件绑定，则它们不再是匿名的……他们不可能是，对吧？

有没有想过符合GDPR的实用解决方案？

Answer 1

最终，在英国，GDPR将由ICO -信息专员办公室执行。虽然其中一些规定相当明确，但与匿名化相关的条款是可以解释的，我们可能只有在ICO执行了与其相关的案件后，才能完全理解界限是如何划分的。话虽如此，在their site上有很多好的信息。

他们也是英国的一群学者，为ICO和企业(免费)提供关于匿名化的建议。他们被称为UK Anonymisation Network - UKAN。我和他们开了一次网络会议--他们太棒了。

如果您使用标准加密来存储静态数据，则不太可能必须对数据进行匿名处理。如果您要与第三方共享其中的任何数据，匿名可能会派上用场。如果他们的系统被入侵，你可以证明你已经采取了尽可能多的措施来降低风险。

匿名化是困难的，有大量的例子是通过引用公共可用的数据集或糟糕的匿名化来从“匿名”数据集中重新识别个体。至于实现这一点的方法，我可以推荐的工具是我的- Anon AI。我们目前仍在构建该产品，但我们将解决匿名化的复杂性，以便您可以使用简单的命令来匿名您的数据。

将原始数据推送到本地软件或web服务；

anon push {path to your db dump} {reference name}

将匿名版本拉回；

anon pull {reference name}

如果你想尽早访问，请让我知道。

Answer 2

我同意上面的观点- GDPR对于隐私权和数据控制来说是一件很棒的事情-我也同意有一百万个网站只是改写了gdpr！在实际步骤方面，ICO将在本月发布更多指导意见。但是，首先规划出您处理的用户数据，这样做的原因是否合理，以及您是否已经要求以这种方式使用这些数据的显式许可，这是有意义的。此外，您应该考虑如何在请求数据时删除数据。

有一些服务会保持独立的opt ins记录，并提醒您数据漏洞。Anonomisation在某些情况下有效，在其他情况下，如果你有权限，那么你所需要的就是删除过程和审计跟踪。