歐洲一般資料保護規定(General Data Protection Regulation,簡稱GDPR)要求個資的控制者應該且應能展現對個資處理原則的合規性,且GDPR鼓勵採用驗證與行為準則(含監控)來展現合規,對於目前GDPR驗證機構認證規範尚未公告且尚無被核准的行為準則之際,各組織可以優先實施歐盟已認可的文件與標準,如,歐盟Article 29 Working Party(簡稱WP29,為目前的歐盟GDPR主政機構,之後將轉換成為European Data Protection Board-EDPB)公告的各個工作文件(Working Paper),來展現並確保重要的GDPR規範符合法律要求,待有GDPR驗證機制與行為準則可用時,再更近一步的採用。
GDPR鼓勵的認驗證機制
GDPR鼓勵的認驗證機制包含了行為準則(Codes of conduct,簡稱CoC,含監控Monitoring )及驗證(Certification),並於Articles 24、25、28、32、35、46、83規範中提及以認驗證體制可展現對GDPR的合規性。採用行為準則應依循GDPR Article 40及41規範。行為準則可由歐盟會員國內的協會或其它團體起草行為準則,再由監管機構核准;如果與多個歐盟會員國相關的協會或其它團體,則將行為準則提交給歐盟資料保護委員會(EDPB)。後續則由監管機構認證的監督機構對”控制者Controller或處理者Processor”進行監督工作,如圖一。
若採用驗證(Certification)則應依循GDPR Article 42及43規範。各會員國的監管機構以(EC) No 765/2008規定治理認證機構,認證機構以ISO 17065及附加要求治理驗證機構,最長5年;驗證機構(如:歐盟奧地利CIS)對”控制者或處理者”實施驗證作業,或可由歐盟資料保護委員會或監管機構核發資料保護驗證,印章或標章,最長3年,如圖二。
本文作者目前任職於TCIC環奧國際驗證公司 全球營運總經理/稽核師/講師
加拿大GDPR諮詢委員會(Canadian Advisory Committee on GDPR)委員
Email: daniel@mail.tcicgroup.com
【敬請期待下回】我們將提供宜優先實施的GDPR的合規展現案的四個案例。