2014年,当荷兰.NL域名注册机构成立自己的隐私委员会时,隐私保护在许多企业中尚未成为广泛关注的主题。当时,荷兰.NL域名注册机构开始使用自主研发的研究平台ENTRADA 对 .nl 域名服务器的流量进行研究。这项研究以及更严格的欧洲法规的出台(该法规后来演变为《通用数据保护条例》(GDPR))表明,对数据处理进行结构化、专业的审查是必要的。“这是合乎逻辑的一步,”荷兰.NL域名注册机构数据保护官兼隐私委员会主席 Karin Vink 说道,“我们希望在关注所有相关人员的隐私的同时,能够负责任地进行创新。”
自己的隐私委员会
如今,许多公司都任命了一名员工或整个团队来负责组织内的隐私保护工作。在域名注册领域,十多年前,这还远非普遍现象。我们组建了一个多学科团队,称之为“隐私委员会”。这是一个常设机构,能够独立评估新项目、新服务或新研究是否符合法律法规以及 荷兰.NL域名注册机构自身对谨慎使用数据的高标准要求。
至今仍然重要
“如今,隐私保护仍然很重要,但它已经越来越成为企业运营中理所当然的一部分。这是每个公司和组织都要面对的问题,需要采取相应措施并制定相关政策。我注意到,多年来,荷兰.NL域名注册机构的员工已经非常注重隐私保护。这真是令人欣喜。这表明我们的宣传活动取得了成效。例如,去年所有团队都玩了“隐私棋”,这是隐私委员会设计的一种古老棋盘游戏。员工们通过游戏的形式,面对了关于隐私和个人数据处理的问题和困境。今年,我们在停车场搭建了一个真正的逃生室,整个逃生室的设计都围绕着安全和隐私主题。
组成:多学科且独立
荷兰.NL域名注册机构的隐私委员会由经常处理个人数据的部门代表组成,包括我们的支持部门和研究部门 荷兰.NL域名注册机构实验室。自去年以来,首席信息安全官也加入了委员会,以便隐私和安全能够“携手合作”。卡琳说:“这种组合非常重要。通常情况下,隐私和安全方面的利益是相互加强的。使用便利性和安全性发生冲突的情况比隐私和安全性发生冲突的情况更常见。”
卡琳担任数据保护官一职。作为隐私委员会主席,她主要负责监督流程,而委员会成员则负责进行实质性分析。
评估在实践中如何运作?
每个涉及个人数据处理的新项目、服务或研究,都必须事先以隐私政策的形式提交给隐私委员会。未经委员会批准,项目不得启动。提交者需要填写一份详细的模板,其中包括目的、数据类别、依据和风险等描述。然后,委员会将按照固定程序对政策进行评估:
提案分析
委员会将审查拟议的处理方式是否符合《通用数据保护条例》和内部政策。委员会将重点审查处理依据(通常为“正当利益”)和必要性。
深入讨论
在与提交隐私政策的同事进行讨论时,董事会寻求澄清、替代方案或减少个人数据处理的可能性。
比例性和数据最小化审查
预期的处理是否符合比例性原则?是否可以使用更少的数据或更少的细节?董事会根据内部审查框架对此进行评估。
决策与公布
结果将被记录在案。隐私政策及相关评估将在可能的情况下公开;包含商业敏感信息或仅涉及荷兰.NL域名注册机构员工个人数据处理的隐私政策将保密。
在此工作流程中,从未出现过项目被完全否决的情况。卡琳表示:“我们与提交政策的同事进行讨论后,总会在必要时做出调整。通过更智能、更安全、更高效地处理个人数据,我们最终达成共识。”
隐私与安全:并非对立关系
荷兰.NL域名注册机构管理着荷兰数字基础设施的关键部分,每天有数百万用户使用该基础设施。因此,.nl域名的安全性至关重要——但这与隐私权如何平衡?卡琳认为,这两者往往是相辅相成的。“我们进行大量数据处理是为了提高互联网的安全性。相关人士很少会注意到这一点,只是感受到更高的安全性。”
但前提是基础必须正确。.nl 域名的稳定性和安全性往往构成合法利益的法律基础。通过早期审查,董事会确保这些利益不会发生不必要的冲突。