举证责任

在立法的典型应用中，在证明有罪之前，一个人被假定为无罪。许多国家都有例外，健康和安全就是一个例子。在被证明无罪之前，公司都被认为有罪。如果有人摔倒受伤，那么问题是，他们能合理地采取什么措施来防止？

虽然欧盟（EU）《通用数据保护条例》（GDPR）没有完全的反向举证责任，但第82条（获得赔偿的权利和责任）第3款规定，云是什么，"如果控制人或处理人证明其对引起损害的事件不负有任何责任，则应免除第2款规定的责任损害"

这意味着对不符合要求的处理造成的任何损害承担责任，严重的情况下意味着数据主体得到有效的赔偿。责任分配很可能取决于数据控制者和数据处理者之间的处理责任程度。

第82条第2款所述的"损害"涉及数据控制者和数据处理者的处理活动，以及该处理是否不符合GDPR（以及如果你是一个数据处理者，就要执行数据控制器的合法指令。）

那么这个处理举证责任是什么样的呢？

个人数据的处理

进一步深入该条例，我们了解到，个人数据的处理被定义为"收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供的披露、对齐或组合，限制、删除或销毁。"几乎所有与‘接触’个人数据有关的事情。

GDPR还要求处理是针对特定目的的，即处理个人数据的商业原因。公司本质上需要在其个人数据的具体处理中附加一个明确的目的，并且他们需要证明他们处理数据时仅为此目的承担适当的责任。未获得合法处理（同意、合同、法律义务等），未明确目的（例如营销特定产品），淘客推广渠道，不得进行处理。

如果正在进行处理，公司必须通过设计证明，默认情况下，是按照GDPR进行的；换句话说，全民淘客，证明这一点。

处理个人数据时的进一步（但不是详尽的）职责包括：

处理的数据量应"充分、相关且仅限于目的所需的内容"数据主体"应了解与处理个人数据有关的风险、规则、保障措施和权利"它应"以确保个人数据适当安全和保密的方式，包括防止未经授权访问或使用个人数据和用于处理的设备""个人数据的存储期限严格限制在最低限度"

处理个人数据违规的安全性

除了处理个人数据的程序外，还有向监管机构报告违规行为的责任，怎么查看大数据，在与处理个人数据有关的安全失效的情况下。

GDPR将数据泄露定义为"导致意外或非法销毁、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据的违反安全的行为。"我们回到处理个人数据再次，这一次增加了安全漏洞。

数据控制者有72小时（或更少，移动物联网，如果该欧盟成员国要求）来报告意识到数据漏洞。数据处理者有义务将数据泄露告知数据控制者。

数据主体的风险程度（泄露记录的数量、泄露数据的类型、暴露的性质等）将对罚款、纠正措施产生重大影响，如此一来，监管机构可能会考虑实施。

显然，GDPR重视个人数据的处理，并对处理的安全性进行管理。

该怎么办？

我们如何证明我们"对造成损害的事件不负任何责任"？

这不是小事。

我不是律师，不能提供法律意见，因此，这是我个人的想法：建立一个数字"书面记录"，说明你是如何在你的组织中实施GDPR的，以及你采取了哪些措施来管理个人数据的处理，并尽快开始。

实施访问管理工具（例如）是处理时管理安全的一个方面个人资料。但与任何技术和基于证据的法规一样，您必须证明该技术（作为一种控制）适用于目的（设计有效性），并已正确推广和使用（运营有效性）。

政策（数据加密、双因素认证、，创造世界上最好的政策是极好的和令人钦佩的，但是如果它没有在整个组织中得到实施，并且你没有被接收者接受的记录，你就没有遵守GDPR。

底线

即使你没有所有的技术措施到位，这将是一件非常好的事情，如果你有一个记录在案的GDPR计划到位：

行政赞助（问责制）在整个组织内成功推广的证据（当然，这要求已经推广）

这可以帮助您建立证据，证明您已经尽了一切可能：

使用最先进的技术制定技术和组织措施在设计和默认情况下拥有隐私

了解更多信息

访问SAP的GDPR合规性网页，了解有关GDPR的更多信息和教育请查看GDPR产品网页，了解SAP解决方案和服务可帮助您管理GDPR计划、管理和保护数据以实现可持续的GDPR合规性的资源阅读我们的其他GDPR特定博客