主办单位:中国贸易报社

第A6版:法律 上一版3  4下一版
第A6版            法律
 
今日关注

2018年12月4日 星期    返回版面目录

放大 缩小 默认        

信息安全管理从数据保护官合规开始

来源:中国贸易报  作者:本报记者 钱颜

伴随欧盟GDPR(又称《通用数据保护条例》)的实施,数据保护的力度再一次得到加强。“GDPR作为新的监管制度,加强了数据所有者权利,扩大了法律适用范围,更加聚焦问责制和管理制度,企业受到强制执行、罚款,承担法律责任的可能性大大增加。”在中国贸促会商事法律服务中心日前举办的数据安全境外法律规制及企业合规管理专题讲座上,美国众达律师事务所合伙人温蒂妮·冯·迪亚尔(Undine von Diemar)表示,网络攻击和数据泄露将可能给企业带来法庭调查与补救成本、受害者信用监督成本、公布数据泄露通报的费用、知识产权失窃、监管罚款、声誉损害及客户流失等损失。中国企业一定要熟悉GDPR规则,做好应对方案。

会上,温蒂妮·冯·迪亚尔对GDPR进行了详细解读。根据GDPR规定,企业须保留包含以下信息的数据处理活动记录:数据控制者的具体名称和联络方式(也包括联合控制者和数据保护官的信息);处理数据的目的;数据主体类别和个人数据类别;接收者类别(包括在第三方国家的接收者);向哪些第三方国家传输数据;删除数据的时间;技术组织所采取的安全措施。现阶段,企业应验证现有的数据存放信息,决定是否应当收集其他信息(如数据分类信息),选择协助创建记录的工具,为每条记录指定数据处理负责人。

此外,企业须向消费者提供下列信息:控制者和数据保护官的具体身份和联络方式,数据处理的目的和法律依据;数据处理是否基于合法权益,并解释相关权益;接收者或接收者类别;国际数据传输和数据传输机制;数据保留期限;个人权利,包括向数据机构(DPAs)投诉的权利。获取数据时,要求形式简洁、透明、易理解、易获取;使用清楚浅显的语言且以书面形式提供;若个人提出要求且个人身份经证实,可口头提供信息,考虑与标准化图标相结合。

美国众达律师事务所律师毛里西奥·佩兹(Mauricio Paez)表示,企业应审查现有数据处理政策(线上和线下),根据需要进行更新或改进,保证透明度和遵守方式。考虑使用图标,根据个人数据类别考虑采用不同方式。

GDPR实施后,企业客户、员工、供应商都拥有了更多数据处理权利,包括获取数据权、纠正权、删除权、撤回权、限制处理权等。“此外,还有三种权利是企业最易忽略的:转移数据的权利、反对权以及消费者有数据不受约束的权利,可对企业自动决策进行法律诉讼。这些权利在数据收集阶段也可使用。”温蒂妮·冯·迪亚尔指出,企业应完善内部程序,处理这些个人权利要求,审查IT系统保证具有适当的数据处理及保护能力。同时,对有关自然人的个人信息进行系统、广泛地评估;对特殊类别数据进行大规模处理;对可公开访问的区域进行大规模系统监控。

“企业处理数据前须与客户、员工、供应商签订合同,且合同规定以下内容:标的、处理期间、性质和目的、数据类型、个人数据类别、控制者的义务和权利,还包括数据保密性、安全措施、数据主体提出要求时提供帮助(帮助应对数据泄露、转包、数据返还和审计义务)等。”其中,温蒂妮·冯·迪亚尔特别强调了数据泄露通知义务。当发生数据泄露时,企业应迅速通知主管数据保护机构,原则上不迟于72小时(泄露不可能导致个人权利和自由遭受风险的情况除外),通知内容包括泄露数据的性质、数据保护官联络方式、可能产生的后果和对数据泄露采取的措施,并通知受影响的个人(若可能给其权利和自由带来很高风险)。

对与欧盟国家来往密切的企业来说,数据保护官必不可少。“数据保护官须具备专业素养和专业知识,其任务是定期系统地监控数据主体、处理大规模特殊类别数据(如健康数据或刑事犯罪)。”据毛里西奥·佩兹介绍,数据保护官须参与所有数据保护事务,公司应对其职能提供支持,保证其具有直接向最高管理层汇报的独立性,数据保护官的联络方式必须向数据保护机构公开。外部服务供应商也可担任数据保护官。

毛里西奥·佩兹建议企业考虑欧盟范围内企业的普遍做法,审查现有数据保护官是否合适,如不合适要及时作出调整,使之与管理结构相一致。

温蒂妮·冯·迪亚尔为企业做好信息安全管理、防范数据合规风险提供了以下三个步骤:一是明确各项业务及数据处理的适用法律;二是开展差距分析,对照数据保护完善的企业评估当前程序,明确责任风险;三是通过全面合规实施计划和差距补救(包括治理和更新政策、程序与协议)解决差距问题。

关于我们 | 报纸征订 | 投稿方式 | 版权声明
主办单位:中国贸易报社 | 通讯地址:北京市三元西桥中国贸易报社