web-dev-qa-db-ja.com

EU GDPR-データ保護要件の基準がない?

GDPR here および there について読んでいます。ただし、データを実際にどのように保護するかについての要件はありません。

  • 最小パスワード長の要件
  • 二要素認証
  • バックアップ保護ポリシー

など。

たとえば、同意を与えるデータ主体についてはどうでしょうか。ただし、たとえば、第2要素が常に必要であることが保証されている場合のみですか。

企業は(違反の前に)悪い/準拠していない保護について訴訟を起こすことができますか?

password-policycorporate-policygdpr
2
Marcel

GDPR規制 (第39条、7ページ)では、

個人データは、個人データおよびその処理に使用される機器への不正アクセスまたは使用の防止など、個人データの適切なセキュリティと機密性を確保する方法で処理する必要があります。

つまり、これはコントローラーにかかっています。コントローラがセキュリティ制御とメカニズムを学習して適応する意思がない場合、それらは不十分になり、違反につながる可能性があります。規制によってデータの保護方法が規定されていない理由は、会社ごとに異なり、異なるセキュリティ対策が必要になるためです。また、Cyber​​ EssentialsやISO 27001のような認定に従って、正しいセキュリティ管理と手順が実施されていることを確認するのも良い方法です。

訴訟の法的側面についてはあまり確信が持てませんが、特定のセキュリティ対策が講じられているという契約に基づいているとしたら、彼らは契約に違反していると思います。

6
Alex Probert