GDPR 咨询

概述

《通用数据保护法规》(GDPR)于2018年5月25日正式生效, 该法规对于所有在欧盟内处理个人资料的组织制定了需求, 无论在何地处理, 都要了解他们在使用及储存他们的个人数据时所产生的风险, 并予以消除

GDPR 是新的欧洲数据保护框架。

这是有史以来第一次,GDPR为所有在欧洲生活,工作或旅行的人(包括那些从未访问过欧洲但其个人数据在欧盟内处理的人)提供世界最强的数据保护规则

这得到每个司法管辖区的相关立法支持。

GDPR 可应用于所有在欧盟内成立的公司, 而即使非欧盟国内的公司, 只要是以欧盟成员为目标(为他们提供产品或服务, 或监管他们行为)的公司, 都是GDPR可应用范围内。

欧洲数据保护委员会(“EDPB”)为了厘清GDPR之领域范围而公布了准则草案, 相关的公众咨询于2019年1月18日結束。

EDPB 准则草案中所需关注的重要因素包括:

  • 在欧盟以外运行的公司:
    • 欧盟个人的个人数据; 和
    • 在欧盟设立企业; 可
    • 被认为是“不可分割的联系”
      • 因此受GDPR的约束
  • 针对或监控在欧盟的个体
    • 澄清无论欧盟公民身份,居住权或其他类型的法律地位,都与对于定义申请GDPR的领域无关
  • 监控- 现时可能潜在的监管活动, 包括Wi-Fi跟踪和地理定位活动。
  • 根据GDPR第3 条第(2)款,GDPR所涵盖范围内的公司都必须通过书面授权任命欧盟代表,

只有一小部分组织完成了他们的GDPR完全合规之旅, 许多仍在进行中或者尚未开始, 有部份甚至不知道他们已被 GDPR 关注了。

针对那些不合新GDPR规格的公司, 监管机构将利用全面的罚款权力来向公众展示新GDPR的权力。

此外, 还有很多其他监管机构有能力对于违反 有关“个人权利”的行为 进行罚款的, 最近的案例是意大利竞争监管机构就Facebook公司误导用户如何使用他们数据作出达890万英镑的罚款惩处。

GDPR令人信服是因为它明确规定了合作伙伴与第三方供货商的责任, 令他们需要在签订任何类型的处理个人数据的工作合同之前进行尽职调查, 这意味着任何不符合GDPR标准的组织可能不会被授予合同,后果是业务损失或无法获取新业务。

因此,越来越多的组织正在探索以BS 10012“数据保护 – 个人信息管理系统规范”作为实施最佳实践信息安全管理的益处。这是现行唯一的标准:

  • 建立
  • 运行
  • 维护
  • 不断改进。

个人信息管理系统(PIMS),很容易融入于其他管理体系(例如ISO 9001、14001、22301、27001等)。

服务提供

因为A-GRC享有很多协助他方建立数据保护及信息安全的经验, 因此他们能为您业务提供最合适的解决方案, 这就是A-GRC具有的独特优势。

A-GRC基于BS 10012建立了自己的方法论,其中包含个人信息管理政策以及根据戴明循环开发个人信息管理系统(PIMS)所需的所有流程、程序和计划:

  • 计划
  • 执行
  • 检查
  • 法规

这是所谓的PDCA循环。所有主要的管理均使用了PDCA,即使这要求已不再列于附件SL中,许多组织仍然倾向于使用这一流程。

A-GRC ISO顾问是GDPR专家,拥有审查并实施多个PIMS和GDPR系统的经验。

方法

使用A-GRC方法实现PIMS包括:

  • 执行差距分析以确定实施PIMS所要执行的工作
  • 定义组织的背景
  • 了解相关方的业务、驱动因素、需求和期望
  • 确定PIMS范围
  • 建立PIMS
  • 在整个组织内建立管理承诺
  • 制定并实施适当的个人信息管理政策
  • 在业务中加入数据隐私管理
  • 确保制定适当的支持流程和程序
  • 进行风险评估
  • 确定组织内的数据清单和数据流
  • 确定处理个人数据的法律依据,包括特殊类别的个人数据
  • 酌情进行隐私影响评估(PIA)
  • 制定数据隐私风险处理计划
  • 确保将设计和默认盗版融入于 业务中
  • 定义PIMS目标以及如何实现
  • 记录程序
  • 实施意识培训
  • 实施支持PIMS的程序
  • 监控、测量和审查PIMS
  • 审核PIMS
  • PIMS管理评审
  • 持续改进PIMS
  • 协助获得BS 10012注册证书。

益处

A-GRC方法使您能够:

  • 使PIMS 所达至的成果符合业务需求
  • 允许您进行合同投标,即使公司本来不符合GDPR或持有BS 10012注册证书A-GRC亦能帮助公司获得相关资格, 从而得到合约的投标资格
  • 确保数据隐私无论在管理和客户方面都能表现到位
  • 调整组织结构以确保建立数据隐私管理的角色和职责
  • 证明由第三方一致性评估机构验证的合规性
  • 实现不同管理系统之间的互操作性
  • 确保公司在高级层面上制定及实施个人信息管理政策
  • 确保创建和管理信息资产注册和数据流
  • 确保实施并维护加工活动登记册
  • 实施并维护您的业务中的数据隐私意识
  • 识别风险并评估风险对于业务的影响
  • 提高客户对您的个人资料及其客户个人资料处理的信心
  • 公开声明公司能够满足自身及客户的数据的个人资料安全需求
  • 根据风险偏好管理和处理重大风险,将其降低到可接受的水平;
  • 验证组织和技术有充足的安全措施,包括通信和操作程序,逻辑访问控制,系统开发和维护安排
  • 确定实际上及环境上有充足的保安安排
  • 在调用业务连续性和/或灾难恢复安排时,验证信息安全的后续连续性是否存在或充分。