promo solutions eugdpr

EU GDPR

歐盟一般資料保護法規

十一月 2018
博客首頁

歐盟一般資料保護法規 (EU GDPR)

成就 GDPR 微小卻至為重要的元素: 遵循 Kingston Encrypted USB 的規範

管理威脅及降低風險

可用選項涵蓋個人、企業或政府的所有需求。

  • 100% 相容的加密 USB 資料儲存設備
  • 簡單,使用方便,無須安裝任何軟體或驅動程式
  • 專為快速且高效率的部署而設計
EUGDPR Compliance Logos
Keep Compliant with Kingston

歐盟 GDPR:要留意的前 5 大主要區域

  1. 加密 - 資料處理標準的安全性 (處理安全性第 32 條)
  2. 任命資料保護長 (DPO)
  3. 建立網路安全性方案
  4. 備受肯定的盡責態度
  5. 瞭解同意書

未遵循法規是否會被處以任何罰款?

Are there any penalties for non-compliance?
  • 根據 GDPR,違反 GDPR 的組織可能被處以年度全球營業額的 4% 或 219 億 5,200 萬美元 (或 2,000 萬歐元,兩者以較高數額為準) 的罰款。
  • 公司可能會因為未按順序將記錄歸檔、未通知監管單位,以及資料可能違規或未執行而影響評估,而被處以 2% 的罰款(第 28 條)。
  • 重要的是,留意是否已將這些規則套用至控制者及處理者,這代表「雲端」並未豁免於 GDPR 強制執行範圍。

我需要知道哪些事情?

這會對我的企業造成何種影響?

  • 任何使用與歐盟公民相關資訊的公司都必須遵循
  • 重要的是,留意是否已將這些規則套用至控制者及處理者,這代表「雲端」並未豁免於 GDPR 強制執行範圍
  • 適用於處理歐盟公民資料的所有組織 (歐盟或非歐盟)
  • 要求處理或持有個人可識別資訊的組織實施適切的安全性措施,以防止個人資料遺失。

我的企業應該遵循哪些規定?

  • 自我評估 - 員工人數達 250 (含) 人以上的公司必須設置資料保護長。組織必須針對處理其員工及客戶之個人可識別資訊的作法進行內部審查
  • 對應儲存資料的內部及外部產品/裝置 - 記錄並要求所使用的公司設備屬於資料安全性政策的涵蓋範圍,並確保已經使用資料加密。項目包含但不限於:伺服器、硬碟機、SSD、USB 隨身碟、電腦及行動裝置
  • 存貨分析 - 評估個人資料總數
  • 清除 - 消除不必要個人可識別資訊 (PII) 的封存檔
  • 資訊控制者 - 審查隱私權風險和影響評估
  • 合作契約 - 自 2018 年 5 月生效開始日之後,現在執行政策是強制行為,確保您的企業永不過時
  • 資料洩漏 - 法規要求必須在 72 小時內發出通知

解決方案 - 實施適當的保護、技術標準和政策,例如:個人資料/個人可識別資訊 (PII) 的資料加密,以緩解未遵循法規的風險 (瞭解詳情 – Encrypted USB 隨身碟標準最佳實務)

資料加密

  • Kingston 及 IronKey Encrypted USB 隨身碟是標準化資料加密合規性的解決方案之一
  • 採取「適當的技術及組織措施,以確保落實適合該風險的安全性等級,包含…對個人資料加密」(處理安全性第 32 條)
  • 提案要求組織加密傳輸中及靜止狀態的敏感性資料。
  • 要求處理或持有歐盟居民之個人可識別資訊的組織實施適切的安全性措施,以防止個人資料遺失。
  • 組織必須將這些增強型資料處理標準納入與第三方服務提供者簽訂的合約。

擴大領土範圍 (額外領土適用性)

可說是資料隱私權之法規範圍的最大改變。

  • GDPR 的延伸管轄權適用於處理居住於歐盟之資料當事人之個人資料的所有公司,無論這些公司所在地為何。

洩漏通知

在可行情況下,必須在得知資料洩漏的 72 小時內完成通知作業,但如果部會導致個人權利或自由的風險,則不一定要向 DPA 發出通知。

新的消費者權利

消費者福利

Consumer Benefits

  • GDPR 提供更多保護且可維持匿名狀態
  • 如果消費者不希望共用資料,則賦予他們相關權利
  • 適用於消費者的增強型權利 - ‘被遺忘權 - ‘要求公司對於資料採取一般用途的資料可攜性權利
  • 未遵循這些消費者權利的公司可能會面臨消費者及法律實體提起的更多訴訟

同意書

同意書的條件已經獲得強化,而且公司將不再能夠使用充滿法律術語的冗長、難以辨別的條款與細則,因為同意書的要求必須是以可理解且容易存取的形式提供,且資料處理用途隨附於該同意書。

  • 同意書必須明確且能與其他事項區分出來,而且必須使用明確且淺顯的語言,以可理解且容易存取的形式提供。撤銷同意書必須和提供同意書一樣容易。

被遺忘權

被遺忘權也被稱為「資料抹除」,可讓資料當事人命令資料控制者抹除其個人資料、停止進一步散播資料,以及可能讓第三方停止處理資料。這些抹除條件 (如第 17 條所述) 包含與原始處理目的不再相關的資料,或是資料當事人撤銷同意書。

也請注意,考量此類要求時,此權利可要求控制者將當事人的權利與「資料可用性之公眾利益」進行比較。

何謂個人可識別資訊 (PII)?

個人可識別資訊 (PII) 是指關於歐盟公民之資料若經揭露,可能對其資訊遭到破壞之人員造成傷害。PII 可能包含醫療記錄、生物特徵資料、護照號碼及個人可識別資訊 (PIFI),例如社會安全和信用卡詳細資料。如果連結至其他資料的話,則不會被視為 PII 的資訊 (例如,名字及姓氏) 也可能會變成 PII。

  • 應該將組織的資料資產是別為風險評估的一部分,包含儲存及存取資料的方式、所暴露的風險等及,以及是否包含 PII。資料資產可能儲存在應用程式資料庫、伺服器檔案系統及一般使用者裝置上。
What is Personal Identifiable Information (PII)?

重點區段

  • 一組歐盟通用的規則 - 一組歐盟通用的資料保護法律預計每年可節省 23 億歐元。
  • 負責資料保護的資料保護長將由政府當局以及會大規模處理資料的企業指派
  • 一站式購物 - 企業只需要處理單一監管機構 (若是歐盟國家,則是其主要所在地)
  • 非歐盟公司的歐盟規則 - 在歐盟境內提供服務或商品,或是監控個人行為時,總部設於歐盟以外的公司必須套用相同規則
  • 符合創新思維的規則 - 在研發 (設計時即預設會提供資料保護) 的最初階段即已保證會對產品及服務提供資料保護措施
  • 符合隱私權規範的技術,例如「去連結化」(當資料記錄中的身份識別欄位由一或多個人工識別符取代時) 及「加密」(對資料編碼,以便只有獲授權的對象能讀取內容)
  • 影響性評估 - 如果資料處理可能導致個人權利及自由蒙受高風險時,企業必須執行影響性評估
  • 保存記錄 - 除非處理是定期進行,或可能導致資料正在接受處理之人員的權利及自由蒙受風險,否則 SME 不需要保存處理活動的記錄

更多內容

一般資料保護法規 (GDPR) 的重要日期

  • 2018 年 1 月 31 日 PCI-DSS v3.2 – 多重要素驗證 (8.3.1) 需求 - 會影響全球組織
  • 2018 年 6 月 30 日 PCI-DSS v3.2 – 升級 SSL Encryption (2.2.3、2.3, 4.1) 的需求 - 會影響全球組織
  • 2018 年 4 月 PSD2 – 支付服務指令 2 - 會影響歐洲企業
  • 2018 年 5 月 GDPR – 一般資料保護法規 - 會影響全球組織

更多資訊

深入瞭解 加密的 USB 隨身碟 - Kingston Technology
深入瞭解 加密的 USB 隨身碟 - Kingston Technology