首頁 > 焦點新聞

年度新挑戰 歐盟GDPR資料保護五月啟動

作者:BSI英國標準協會台灣分公司 -2018 / 01 / 02 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

歐盟執委會從2012年提出一般資料保護規範(GDPR)草案,歷經四年討論方於2016年4月27日經歐洲議會通過,並即將於2018年5月25日正式全面實施。

隨著科技發展,個人資料更容易被儲存、運用及傳遞,大幅增加隱私權風險。歐盟執委會於是著手立法,在2012年提出一般資料保護規範(General Data Protection Regulation, GDPR)草案,整合隱私保護指令、電子通信隱私保護指令,及歐盟公民權利指令,歷經四年討論方於2016年4月27日經歐洲議會通過,並即將於2018年5月25日正式全面實施。

企業組織只要有來自歐盟的客戶、合作夥伴,就不能置身事外。
首先須留意以下GDPR的重點:
1. 祭出高額罰鍰
 第一階(Tier one):最高罰1千萬歐元或年度全球營業額的2%,擇金額較高者罰之
 第二階(Tier two):最高罰2千萬歐元或年度全球營業額的4%,擇金額較高者罰之
2. 個資刪除權 
 若個人想收回個資處理權限,而持有單位無正當理由繼續留存該資料,則須予以刪除,並且須由資料收集單位負責證明資料有留存必要,而非由個資當事人(個人)負責舉證。
3. 新法重新修訂同意權概念,以確保個資使用透明度
 收集資料時須充分且明確告知個資當事人資料的所有用途,且個資當事人現在得基於任何理由隨時撤銷同意。
4. 資料若遭外洩,須依法告知
 現在若企業發現資料遭外洩,須於得知後72小時內回報主管機關及通知受影響的個資當事人。
5. 個資可攜權
 新法規規定,個資當事人應有權將個資從原本的資料持有單位(以常用電子格式)轉移至另一單位,原持有單位不得阻礙干涉。
6. 隱私權政策設計
 這是新法規的核心精神之一,旨在改變業界整體思維,以及企業制定資料保護政策的方式。根據第23條規定,企業應根據業務程序發展,制定符合需求的資料保護政策。
7. 指派資料保護長(DPO)
 企業現在必須指派DPO,而DPO須為獨立職位,且須向主管機關負責,而非董事會。

三階段達成GDPR合規

為符合歐盟GDPR法規遵循,可以依「了解」、「執行」、「改善」三階段來逐步達成並維持合規狀態。
第一階段: 了 解
1. 董事會和高階主管的認知研討會
2. 繪製資料資產工作流程
3. 差異分析
4. 法律和法規要求評估
5. 資料保護風險評估
6. 訓練及員工教育

1
推薦此文章
1
人推薦此新聞
文章回應話題
Day Light 發表於: 2018 / 01 / 03
阻礙的意思,是周圍的壓力,很多人因為大多數的不做,認為不用做,公司內部討論起來,尤其如此
Day Light 發表於: 2018 / 01 / 03
很不幸的,目前台灣做的人少,不做的人多,讓認為要做的,受到許多的阻礙
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…