根据 GDPR 第 32 条,技术和组织措施用于确保控制者处理个人数据时对其进行保护,并以最佳方式确保这种保护。具体来说,这意味着每个控制者都必须实施 TOM 并将其记录在其准备活动登记册 (VVT)中,以确保根据 GDPR 第 24 条保障数据主体的权利和自由。此外,根据 GDPR 第 25 条,控制者必须采取适合实施数据保护原则的 TOM 措施,例如数据最小化或删除概念。可以在风险分析或数据保护影响评估(DPIA)过程中采取适当的TOM,以尽量减少或避免现有的风险源,并确保公司处理的个人数据的保护。例如,定期备份可以防止数据泄露时丢失数据。
公司技术和组织措施
TOM 一般影响整个公司,但也明确影响个别部门。这是因为某些 TOM 需要根据部门的具体情况进行调整,以确保尽可能地保护个人数据。因此,建议公司将其技术和组织措施纳入数据保护审计中,并对当前的安全级别进行评估。这样就可以进行调整并考虑个别情况。通过这种方式,公司就履行了《GDPR》第 32 条规定的义务,确保与风险相适 菲律宾号码数据 应的保护水平。
由于比例原则(间接反映在 GDPR 第 32 条中),TOM 要求受到一定限制。 GDPR第32条规定,必须考虑措施的实施成本。另一方面,TOM 必须适合实施才能实现预期的保护目标。因此,在实施数据保护时,必须权衡现有技术水平、实施成本、处理的性质、范围、情况和目的以及发生的可能性和风险水平等因素与数据主体的权利和自由。应记录相应的评估以证明如何选择这些措施。
因此必须考虑经济适宜性。例如,出于经济原因,小型企业的 TOM 不可能在所有领域都采用与大型企业的 TOM 相同的标准。公司应该任命一名数据保护官来评估有效性和是否符合比例原则。
TOM 数据保护 —— 这个缩写代表什么?
TOM 或 TOMs 是数据保护领域中为确保个人数据处理的安全而设计的措施。 TOM 这个缩写代表技术组织措施。在 GDPR 于 2018 年 5 月 25 日生效之前,该术语就已经从旧的联邦数据保护法 (BDSG) 中为人所知。
这里,技术和组织措施列在了 BDSG-old 第 9 S.1 节的附录中。在新版 GDPR 中,必要的 TOM 或 TOM 受到 GDPR 第 32 条的监管。在此背景下,重要的是,根据 GDPR 第 32 条,数据保护中的 TOM 也必须以书面形式记录,另请参阅根据 GDPR 第 5 条第 2 款对负责机构的问责制。自欧盟《通用数据保护条例》生效以来,TOM 对于负责任的公司来说变得更加重要。建议企业通过数据保护审计记录其技术和组织措施,同时进行安全级别评估。