快速入门, 带您了解影响全球数据保护的最大的法规 GDPR
快速入门, 带您了解影响全球数据保护的最大的法规 GDPR质量与认证 今天GDPR 近年来,成为了影响全球数据保护最大的法规,并于2018 年5 月25 日正式全面实施。如无法符合其要求,组织将可能面临高额罚款。
背景随着科技发展,个人数据更容易被储存,运用及传达,大幅增加了隐私权的风险。欧盟委员会于是着手立法,于2012 年提出通用数据保护条例(General Data Protection Regulation, GDPR)草案。
GDPR简介欧盟通用数据保护法规(GDPR)整合隐私保护指令、电子通信隐私保护指令、及欧盟公民权力指令,历经四年讨论方于2016 年4 月27 日经欧洲议会通过,并将于2018 年5 月25日正式全面实施。
GDPR 近年来,成为了影响全球数据保护最大的法规。
不管你是法人或自然人,不论公司规模大小,拥有的欧洲民众个人数据多寡,只要你的核心业务直接或间接和欧洲民众个人数据的搜集、处理和利用有关的话,到2018 年5 月之前,从内部系统到数据安全,都须及时调整,以便能够符合GDPR 对于个人数据保护的规范和要求。GDPR——强化数据保护和隐私权GDPR 的这项改革对企业来说无疑有着深远影响,不仅欧盟境内的公司,所有接触、处理欧盟公民资料的企业组织也将收到影响。GDPR 改革新制的目标:
[*]强化个人隐私权,透过设计符合需求的政策,从法规层面入手
[*]强化欧盟内部市场,透过制定清楚、周密的新法规,赋予个人自由转移数据的权利
[*]确保新法规实施的一致性
[*]设定全球数据保护标准
[*]维护各行各业数据保护的黄金标准
企业组织只要有来自欧盟的客户、合作伙伴,就不能置身事外,首先须留意以下GDPR 的7个重点。GDPR 的 7 个重点01 高额罚款第一层:最高罚款1 千万欧元或年度全球营业额的2%,择金额较高者罚之;
第二层:最高罚款2 千万欧元或年度营业额的4%,择金额较高者罚之。02 个人数据删除权如个人想收回个人数据处理权限,而持有单位无正当理由继续保存该数据,则须予以删除,并且须由数据收集单位负责证明数据有留存必要,而非由个人数据当事人(个人)负责举证。03 新法重新修订同意权概念新法重新修订同意权概念,以确保个人数据使用透明度。
收集资料时须充分且明确告知个人数据当事人资料的所有用途,且个人数据当事人现在得基于任何理由随时撤销同意。04 资料若外泄,须依法告知现在若企业发现数据遭到泄露,须于得知72 小时内汇报主管机构及通知受影响的个人数据当事人。05 个人数据可授权新法规规定,个人数据当事人应有权利将个人数据从原本的数据持有单位(以常用电子格式)转移至另一单位,原持有单位不得阻碍干涉。06 隐私权政策设计这是新法规的核心精神之一,旨在改变业界整体思维,以及企业制定数据保护政策的方式。
根据第23 条法规,企业应根据业务程序发展,制定符合需求的个人数据保护政策。07 指派个人数据保护负责人(DPO)企业现在必须指派个人数据保护负责人(DPO),而DPO 须为独立职位,且向主管机构负责,而非董事会。 GDPR规范的范围:GDPR 除了适用在欧盟地区注册的企业,或者是不是欧盟注册的企业,但在欧盟营运,或者是,有搜集、处理或利用欧盟民众个人数据的企业或组织等,都在GDPR的规范中。https://mmbiz.qpic.cn/mmbiz_gif/JNxrbf2viaAeVynMzpZX316ibicL3rq8eavQZlWeIJEqKqdrClNDXPh4mkSVTTH5Viak8XDz5raBfFofLsz9NcrVibA/640?wx_fmt=gif如何达成GDPR 合规,完成【了解】、【执行】、【改善】三阶段为符合欧盟GDPR 法规要求,可依【了解】、【执行】、【改善】三阶段来逐步达成秉持合规状态。01 【了解】1. 董事会和高层主管的意识研讨会2. 绘制数据资产工作流程3. 差异分析4. 法律和法规要求评估5. 数据保护风险评估6. 训练及员工教育02【执行】1. 数据保护负责人(DPO)2. 隐私权法规遵循架构研发3. 数据保护和隐私权执行4. 隐私权设计——隐私权影响评估及变更管理5. 执行、运作和改善安全措施• 渗透测试• 加密使用审查• 时间管理和数据外泄• 安全控制• 当事人存取要求、包括电子见证03【改善】1. 法规遵循专业能力审查2. 法规遵循和保证评审• 隐私权合规审核• 内部审核• 独立第三方审核• 主管机构审核的准备 • 验证 (例如:BS 10012、 PCI DSS)
页:
[1]