年度新挑戰 歐盟GDPR資料保護五月啟動

作者:BSI英國標準協會台灣分公司 -01/02/2018

歐盟執委會從2012年提出一般資料保護規範(GDPR)草案,歷經四年討論方於2016年4月27日經歐洲議會通過,並即將於2018年5月25日正式全面實施。

隨著科技發展,個人資料更容易被儲存、運用及傳遞,大幅增加隱私權風險。歐盟執委會於是著手立法,在2012年提出一般資料保護規範(General Data Protection Regulation, GDPR)草案,整合隱私保護指令、電子通信隱私保護指令,及歐盟公民權利指令,歷經四年討論方於2016年4月27日經歐洲議會通過,並即將於2018年5月25日正式全面實施。

企業組織只要有來自歐盟的客戶、合作夥伴,就不能置身事外。
首先須留意以下GDPR的重點:
1. 祭出高額罰鍰
 第一階(Tier one):最高罰1千萬歐元或年度全球營業額的2%,擇金額較高者罰之
 第二階(Tier two):最高罰2千萬歐元或年度全球營業額的4%,擇金額較高者罰之
2. 個資刪除權 
 若個人想收回個資處理權限,而持有單位無正當理由繼續留存該資料,則須予以刪除,並且須由資料收集單位負責證明資料有留存必要,而非由個資當事人(個人)負責舉證。
3. 新法重新修訂同意權概念,以確保個資使用透明度
 收集資料時須充分且明確告知個資當事人資料的所有用途,且個資當事人現在得基於任何理由隨時撤銷同意。
4. 資料若遭外洩,須依法告知
 現在若企業發現資料遭外洩,須於得知後72小時內回報主管機關及通知受影響的個資當事人。
5. 個資可攜權
 新法規規定,個資當事人應有權將個資從原本的資料持有單位(以常用電子格式)轉移至另一單位,原持有單位不得阻礙干涉。
6. 隱私權政策設計
 這是新法規的核心精神之一,旨在改變業界整體思維,以及企業制定資料保護政策的方式。根據第23條規定,企業應根據業務程序發展,制定符合需求的資料保護政策。
7. 指派資料保護長(DPO)
 企業現在必須指派DPO,而DPO須為獨立職位,且須向主管機關負責,而非董事會。

三階段達成GDPR合規

為符合歐盟GDPR法規遵循,可以依「了解」、「執行」、「改善」三階段來逐步達成並維持合規狀態。
第一階段: 了 解
1. 董事會和高階主管的認知研討會
2. 繪製資料資產工作流程
3. 差異分析
4. 法律和法規要求評估
5. 資料保護風險評估
6. 訓練及員工教育
[NextPage]第二階段: 執 行
1. 資料保護長(DPO)
2. 隱私權法規遵循架構研發
3. 資料保護和隱私權執行
4. 隱私權設計─隱私權影響評估(PIA)
及變更管理
5. 執行、運作和改善安全措施
 (1)滲透測試 
 (2)加密使用審查
 (3)事件管理和資料外洩
 (4)安全控制
 (5)當事人存取要求,包括電子蒐證(eDiscovery)
 
第三階段: 改 善
1. 法規遵循專業能力審查
2. 法規遵循和保證評鑑
 (1)隱私權合規稽核 
 (2)內部稽核
 (3)獨立第三方稽核
 
(4)主管機關稽核的準備
 (5)驗證(例如:BS 10012、PCI DSS)


GDPR 影響力擴及全球,別以為事不關己
最後還是要提醒大家,初期企業可能對GDPR有普遍的誤解,認為這屬於IT或一般的合規問題,事實上 GDPR 是與企業的經營業務有緊密的關聯性。企業組織只要有來自歐盟的客戶、合作夥伴,就不能置身事外,甚至是Cookie和IP都被納入管理要求,對於高科技製造業、網通設備製造業、電商或是正在發展中的IoT產業都將面臨全新的衝擊,不論您身在哪個產業,一定要即早檢視企業營運的各個環節,盤點各種資料與資料的儲存保管方式及程序,讓高階管理者瞭解當前的個資保護弱點在哪,並授予足夠的支持與資源,並將管控措施做必要的強化與新增,不僅要降低觸法的風險,更要確保自身擁有舉證的能力。

GDPR規範下載網址 https://www.bsigroup.com/LocalFiles/zh-tw/Standads/GDPR/歐盟GDPR一般資料保護規範章節說明.pdf