英国COVID-19“测试和追踪”项目违反GDPR隐私保护规定

因违反欧盟《通用数据保护条例》（GDPR）的规定，英国*因在没有完成数据保护影响评估(Data Protection Impact Assessment ,DPIA)的情况下启动的全国范围的“检测和追踪”项目受到抨击。

 

“检测和跟踪”，是一项国家卫生服务计划，旨在跟踪对COVID-19检测呈递阳性的人的接触史。它要求人们分享敏感信息，包括姓名、生日、邮政编码、同住的人、最近旅行过的地方，以及与他们保持密切联系的人的姓名和联系方式。

 

官员们证实，该计划于5月份启动，在没有完整的DPIA的情况下运行，该计划没有系统地分析、识别和最小化项目的数据保护风险。一个名为开放权利小组（Open Rights Group，ORG）的隐私组织已致函卫生和社会福利部，要求为检测和跟踪计划发布DPIA，并威胁要采取法律行动。

 

*表示到目前为止，没有任何信息被泄露；但是，几个月来忽视DPIA的影响尚未确定。如果不对收集到的个人信息进行数据保护影响评估，将会导致违反GDPR。英国信息专员办公室（Information Commissioner's Office，ICO）表示，DPIA是任何类型的数据处理的法律要求，包括可能对人民权利构成高风险的特定类型的处理。

 

什么是DPIA？

 

DPIA是旨在帮助组织系统地分析、识别和最小化项目或计划的数据保护风险的过程。它是GDPR规定的问责义务的关键部分，如果做得正确，可以帮助评估和证明组织遵守了应有的数据保护义务。

 

DPIA不必消除所有风险，但应考虑收集到的数据可实现的利益，确定和最小化在这种情况下风险水平是否可以接受。

 

DPIA设计为一种灵活且可扩展的工具，可将其应用于各种行业和项目。进行DPIA不一定在每种情况下都很复杂或很耗时，但是必须严格按照所产生的隐私风险来进行调整。

 

DPIA为什么重要？

 

DPIA是您问责义务的重要组成部分。进行DPIA是任何类型的处理的法律要求，包括可能对个人的权利和*造成高风险的某些特定类型的处理（如上文中英国*的“检测和跟踪”项目）。根据GDPR，如果未按要求执行DPIA，则可能会导致执法行动，包括最高1000万欧元的罚款，或者更高的全球年营业额的2％。

 

通过在开始之前考虑与预期处理相关的风险，您还支持遵守GDPR的另一项一般义务：按设计和默认进行数据保护。

 

根据GDPR第25条明确规定：

 

“控制者在确定加工方式时和加工本身时均应采取适当的技术和组织措施……并……将必要的保障措施纳入加工过程中，以满足本标准的要求。规范和保护数据主体的权利。”

 

 

通常，始终使用DPIA可以提高组织内部对隐私和数据保护问题的意识；可以确保参与设计项目的所有相关人员在早期阶段就考虑隐私问题，并采取“按设计保护数据”的方法；还可以带来更广泛的合规性好处，评估和证明您遵守所有数据保护原则和义务的有效方法。

 

另外，有效的DPIA可让组织及早发现并解决问题，从而为个人和组织带来更大的利益。

 

它可以使个人确信您正在保护他们的利益，并尽最大可能减少了对他们的负面影响。在某些情况下，DPIA的咨询过程使他们有机会就其信息的使用方式发表意见。进行和发布DPIA还可以提高透明度，并使个人更容易理解您如何以及为什么使用他们的信息。

 

最后，DPIA也可能带来经济效益。尽早发现问题通常意味着更简单，成本更低的解决方案，同时也避免了以后对声誉的潜在损害。DPIA还可以通过尽可能减少您收集的信息量并为员工设计更简单的流程来减少项目的日常成本。

 

*本文出自SCA安全通信联盟，转载请注明出处。