背景
随着科技发展,个人数据更容易被储存,运用及传达,大幅增加了隐私权的风险。欧盟委员会于是着手立法,于2012 年提出通用数据保护条例(General Data Protection Regulation, GDPR)草案。
GDPR简介
欧盟通用数据保护法规(GDPR)整合隐私保护指令、电子通信隐私保护指令、及欧盟公民权力指令,历经四年讨论方于2016 年4 月27 日经欧洲议会通过,并将于2018 年5 月25日正式全面实施。
GDPR 近年来,成为了影响全球数据保护最大的法规。
不管你是法人或自然人,不论公司规模大小,拥有的欧洲民众个人数据多寡,只要你的核心业务直接或间接和欧洲民众个人数据的搜集、处理和利用有关的话,到2018 年5 月之前,从内部系统到数据安全,都须及时调整,以便能够符合GDPR 对于个人数据保护的规范和要求。
GDPR——强化数据保护和隐私权
GDPR 的这项改革对企业来说无疑有着深远影响,不仅欧盟境内的公司,所有接触、处理欧盟公民资料的企业组织也将收到影响。
GDPR 改革新制的目标:
强化个人隐私权,透过设计符合需求的政策,从法规层面入手
强化欧盟内部市场,透过制定清楚、周密的新法规,赋予个人自由转移数据的权利
确保新法规实施的一致性
设定全球数据保护标准
维护各行各业数据保护的黄金标准
企业组织只要有来自欧盟的客户、合作伙伴,就不能置身事外,首先须留意以下GDPR 的7个重点。
GDPR 的 7 个重点
01
高额罚款
第一层:最高罚款1 千万欧元或年度全球营业额的2%,择金额较高者罚之;
第二层:最高罚款2 千万欧元或年度营业额的4%,择金额较高者罚之。
02
个人数据删除权
如个人想收回个人数据处理权限,而持有单位无正当理由继续保存该数据,则须予以删除,并且须由数据收集单位负责证明数据有留存必要,而非由个人数据当事人(个人)负责举证。
03
新法重新修订同意权概念
新法重新修订同意权概念,以确保个人数据使用透明度。
收集资料时须充分且明确告知个人数据当事人资料的所有用途,且个人数据当事人现在得基于任何理由随时撤销同意。
04
资料若外泄,须依法告知
现在若企业发现数据遭到泄露,须于得知72 小时内汇报主管机构及通知受影响的个人数据当事人。
05
个人数据可授权
新法规规定,个人数据当事人应有权利将个人数据从原本的数据持有单位(以常用电子格式)转移至另一单位,原持有单位不得阻碍干涉。
06
隐私权政策设计
这是新法规的核心精神之一,旨在改变业界整体思维,以及企业制定数据保护政策的方式。
根据第23 条法规,企业应根据业务程序发展,制定符合需求的个人数据保护政策。
07
指派个人数据保护负责人(DPO)
企业现在必须指派个人数据保护负责
人(DPO),而DPO 须为独立职位,且向主管机构负责,而非董事会。
GDPR规范的范围:
GDPR 除了适用在欧盟地区注册的企业,或者是不是欧盟注册的企业,但在欧盟营运,或者是,有搜集、处理或利用欧盟民众个人数据的企业或组织等,都在GDPR的规范中。
如何达成GDPR 合规,完成【了解】、【执行】、【改善】三阶段
为符合欧盟GDPR 法规要求,可依【了解】、【执行】、【改善】三阶段来逐步达成秉持合规状态。
01
【了解】
1. 董事会和高层主管的意识研讨会
2. 绘制数据资产工作流程
3. 差异分析
4. 法律和法规要求评估
5. 数据保护风险评估
6. 训练及员工教育
02
【执行】
1. 数据保护负责人(DPO)
2. 隐私权法规遵循架构研发
3. 数据保护和隐私权执行
4. 隐私权设计——隐私权影响评估及变更管理
5. 执行、运作和改善安全措施
? 渗透测试
? 加密使用审查
? 时间管理和数据外泄
? 安全控制
? 当事人存取要求、包括电子见证
03
【改善】
1. 法规遵循专业能力审查
2. 法规遵循和保证评审
? 隐私权合规审核
? 内部审核
? 独立第三方审核
? 主管机构审核的准备
? 验证
(例如:BS 10012、 PCI DSS)
