採用行為準則或驗證雖為志願性,但GDPR中,如Article 25 Data Protection by design and by default 及 Article 35 Data protection impact assessment為必須執行的規範且可透過認驗證機制展現其合規性並可參考相關的WP29工作文件與對應的ISO國際標準實施。
我們於上一篇文章分享了,讓GDPR不再是負擔,成為突顯組織競爭力的優勢。這篇中談到了
GDPR所鼓勵的認驗證機制,這一篇我們將進一步分享具體的案例,分享宜優先實施的GDPR的合規展現的案例。
案例一、GDPR Article 25設計與預設的資料保護(Data protection by design and by default)
設計與預設的資料保護不只用於程式設計,而是廣泛的包含了組織性與技術性控制,於「ISO 29151個人可識別資訊保護實務」與「ISO 27018公用雲PII處理者保護個人識別資訊(PII)之作業規範」(CNS27018已是國家標準)中指出此二個國際標準可視為設計的隱私(Privacy by Design)的展現,且此二個國際標準可採用ISO的PIMS體系進行驗證。
案例二、GDPR Article 35資料保護衝擊評鑑( Data protection impact assessment)
於WP29的WP248工作文件中,採納了「ISO 29134隱私衝擊評鑑指引(Guidelines for privacy impact assessment) 」做為資料保護衝擊評鑑(DPIA)的方法,且此方法與Article 25所相關的ISO29151及ISO27018共同構成了ISO的PIMS(Privacy Information Management System)體系,ISO的PIMS體系除可展現GDPR的合規性外,亦可做為對於APEC CBPR(Cross-Boarder Privacy Rules跨境隱私規則)與台灣地區個資法規的合規展現,如圖三。
ISO針對GDPR正發展PIMS體系的ISO27552標準,此標準目前位於Committee Draft(CD)階段,ISO27552包括PIMS有關於個資控制者或處理者的特定要求(requirements)與實作指引(guidance)並包含適用於個資控制者或處理者的控制措施、與GDPR的對應關係及與ISO29100、ISO27018、ISO29151的對應關係。其中附錄C(Annex C)為ISO 27552與GDPR的對應關係,提供ISO 27552對GDPR的最佳且直接的合規展現,若PIMS現在使用ISO29151或ISO27018標準,ISO組織也提供了一個對應表,可以由ISO29151/ISO27018順利轉換到ISO27552。為使國內各組織能有效閱讀GDPR所相關的PIMS國際標準,筆者服務的TCIC驗證機構已於今年3月提出國家標準CNS29134與CNS29151制定建議案並已於4月25號通過經濟部標準檢驗局標準審查委員會審查,進入國家標準制定程序,相信不久的將來讀者便可有對應的中文標準可閱讀。
案例三、GDPR Article 37~39 Data Protection Officer(DPO, 譯為資料保護長或資料保護監察人)相關規範
於WP29的WP243工作文件中,說明了DPO的指派(designation)、位階(position)與任務(tasks)的要求,並以詢答方式的案例來銓釋DPO的常見實作,如,DPO個人並不為個資違規事故負責,而是個資控制者或個資處理者的責任等實務銓釋。依GDPR Article 37的DPO指派條件來設立DPO是歐盟委員會(European Commission)認可的可歸責性(accountability)原則的合規展現方式。
案例四、GDPR Article 44~49跨境傳輸相關規範
GDPR中對於跨境傳輸的原則是一律禁止除非核准,與台灣地區個資法規的原則允許除非禁止有著相當的差距,GDPR要求若要傳輸歐洲自然人個資至第三國(third country)或國際組織(international organization)前均須獲得同意,對此要求,第三國可與歐盟協商是否其國家符合歐盟認可的安全保護足夠國家,若組織所在的第三國未被認可成為足夠的安全保護的第三國,組織就必須尋求其它方法的同意,如,驗證、行為準則(含監控)、Binding Corporate Rules(BCR,可參考WP263、WP264、WP265、WP256、WP257等工作文件)、Model Contracts(可參考WP241工作文件與decision 2001/497/EC 、decision 2004/915/EC 、 decision 2010/87/EU等歐盟決議文件)、特殊情況(可參考WP262工作文件)等,來展現對於跨境傳輸相關規範的合規性。
結語
歐盟的GDPR於5月25號施行,當您的組織在有限的資源下為GDPR合規做準備,如何有效的排定合規工作的優先順序以爭取時效,便是重要的課題。採用WP29已公告的工作文件、已識別的國際標準、歐盟決議文件及驗證與行為準則(含監控)是較佳的選擇,讓GDPR不再是個負擔,而成為突顯組織競爭力的優勢。
本文作者目前任職於TCIC環奧國際驗證公司 全球營運總經理/稽核師/講師
加拿大GDPR諮詢委員會(Canadian Advisory Committee on GDPR)委員
Email: daniel@mail.tcicgroup.com
閱讀文章: 讓GDPR不再是負擔,成為突顯組織競爭力的優勢