首頁 > 焦點新聞

宜優先實施的GDPR的合規展現案例

作者:梁日誠 -2018 / 07 / 08 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

採用行為準則或驗證雖為志願性,但GDPR中,如Article 25 Data Protection by design and by default 及 Article 35 Data protection impact assessment為必須執行的規範且可透過認驗證機制展現其合規性並可參考相關的WP29工作文件與對應的ISO國際標準實施。

我們於上一篇文章分享了,讓GDPR不再是負擔,成為突顯組織競爭力的優勢。這篇中談到了
GDPR所鼓勵的認驗證機制,這一篇我們將進一步分享具體的案例,分享宜優先實施的GDPR的合規展現的案例。

案例一、GDPR Article 25設計與預設的資料保護(Data protection by design and by default)
設計與預設的資料保護不只用於程式設計,而是廣泛的包含了組織性與技術性控制,於「ISO 29151個人可識別資訊保護實務」與「ISO 27018公用雲PII處理者保護個人識別資訊(PII)之作業規範」(CNS27018已是國家標準)中指出此二個國際標準可視為設計的隱私(Privacy by Design)的展現,且此二個國際標準可採用ISO的PIMS體系進行驗證。

案例二、GDPR Article 35資料保護衝擊評鑑( Data protection impact assessment)
於WP29的WP248工作文件中,採納了「ISO 29134隱私衝擊評鑑指引(Guidelines for privacy impact assessment) 」做為資料保護衝擊評鑑(DPIA)的方法,且此方法與Article 25所相關的ISO29151及ISO27018共同構成了ISO的PIMS(Privacy Information Management System)體系,ISO的PIMS體系除可展現GDPR的合規性外,亦可做為對於APEC CBPR(Cross-Boarder Privacy Rules跨境隱私規則)與台灣地區個資法規的合規展現,如圖三。



           


1
推薦此文章
0
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…