快速入门, 带您了解影响全球数据保护的最大的法规 GDPR

 

GDPR 近年来,成为了影响全球数据保护最大的法规,将于2018年5月25日正式全面实施。如无法符合其要求,组织将可能面临高额罚款。

随着科技发展,个人数据更容易被储存,运用及传达,大幅增加了隐私权的风险。欧盟委员会于是着手立法,于2012 年提出通用数据保护条例(General Data Protection Regulation, GDPR)草案。

GDPR简介

欧盟通用数据保护法规(GDPR)整合隐私保护指令、电子通信隐私保护指令、及欧盟公民权力指令,历经四年讨论方于2016 年4 月27 日经欧洲议会通过,并将于2018 年5 月25日正式全面实施。

GDPR 近年来,成为了影响全球数据保护最大的法规。

不管你是法人或自然人,不论公司规模大小,拥有的欧洲民众个人数据多寡,只要你的核心业务直接或间接和欧洲民众个人数据的搜集、处理和利用有关的话,到2018 年5 月之前,从内部系统到数据安全,都须及时调整,以便能够符合GDPR 对于个人数据保护的规范和要求。

GDPR——强化数据保护和隐私权

GDPR 的这项改革对企业来说无疑有着深远影响,不仅欧盟境内的公司,所有接触、处理欧盟公民资料的企业组织也将收到影响。

  GDPR 改革新制的目标:

  • 强化个人隐私权,透过设计符合需求的政策,从法规层面入手

  • 强化欧盟内部市场,透过制定清楚、周密的新法规,赋予个人自由转移数据的权利

  • 确保新法规实施的一致性

  • 设定全球数据保护标准

  • 维护各行各业数据保护的黄金标准 

企业组织只要有来自欧盟的客户、合作伙伴,就不能置身事外,首先须留意以下GDPR 的7个重点。

 

  GDPR 的 7 个重点

01高额罚款

第一层:最高罚款1 千万欧元或年度全球营业额的2%,择金额较高者罚之;

第二层:最高罚款2 千万欧元或年度营业额的4%,择金额较高者罚之。

02个人数据删除权

如个人想收回个人数据处理权限,而持有单位无正当理由继续保存该数据,则须予以删除,并且须由数据收集单位负责证明数据有留存必要,而非由个人数据当事人(个人)负责举证。

03新法重新修订同意权概念

新法重新修订同意权概念,以确保个人数据使用透明度。

收集资料时须充分且明确告知个人数据当事人资料的所有用途,且个人数据当事人现在得基于任何理由随时撤销同意。

04资料若外泄,须依法告知

现在若企业发现数据遭到泄露,须于得知72 小时内汇报主管机构及通知受影响的个人数据当事人。

05个人数据可授权

新法规规定,个人数据当事人应有权利将个人数据从原本的数据持有单位(以常用电子格式)转移至另一单位,原持有单位不得阻碍干涉。

06隐私权政策设计

这是新法规的核心精神之一,旨在改变业界整体思维,以及企业制定数据保护政策的方式。

根据第23 条法规,企业应根据业务程序发展,制定符合需求的个人数据保护政策。

07指派个人数据保护负责人(DPO)

企业现在必须指派个人数据保护负责人(DPO),而DPO 须为独立职位,且向主管机构负责,而非董事会。

GDPR规范的范围:

GDPR 除了适用在欧盟地区注册的企业,或者是不是欧盟注册的企业,但在欧盟营运,或者是,有搜集、处理或利用欧盟民众个人数据的企业或组织等,都在GDPR的规范中。

如何达成GDPR 合规,完成【了解】、【执行】、【改善】三阶段

为符合欧盟GDPR 法规要求,可依【了解】、【执行】、【改善】三阶段来逐步达成秉持合规状态。

01【了解】

1. 董事会和高层主管的意识研讨会

2. 绘制数据资产工作流程

3. 差异分析

4. 法律和法规要求评估

5. 数据保护风险评估

6. 训练及员工教育

02【执行】

1. 数据保护负责人(DPO)

2. 隐私权法规遵循架构研发

3. 数据保护和隐私权执行

4. 隐私权设计——隐私权影响评估及变更管理

5. 执行、运作和改善安全措施

  • 渗透测试

  • 加密使用审查

  • 时间管理和数据外泄

  • 安全控制

  • 当事人存取要求、包括电子见证

 

03【改善】

1. 法规遵循专业能力审查

2. 法规遵循和保证评审

  • 隐私权合规审核

  • 内部审核

  • 独立第三方审核

  • 主管机构审核的准备

 • 验证

 (例如:BS 10012、 PCI   DSS)

 

BSI 现能够为客户提供一系列最佳数据管理实践服务:

• ISO 27018 云隐私保护

• BS 10012 个人信息保护

• ISO 38505-1 数据治理