歐盟一般資料保護法規 (EU GDPR)

成就 GDPR 微小卻至為重要的元素： 遵循 Kingston Encrypted USB 的規範

我需要知道哪些事情？

這會對我的企業造成何種影響？

• 任何使用與歐盟公民相關資訊的公司都必須遵循
• 重要的是，留意是否已將這些規則套用至控制者及處理者，這代表「雲端」並未豁免於 GDPR 強制執行範圍
• 適用於處理歐盟公民資料的所有組織 (歐盟或非歐盟)
• 要求處理或持有個人可識別資訊的組織實施適切的安全性措施，以防止個人資料遺失。

我的企業應該遵循哪些規定？

• 自我評估 - 員工人數達 250 (含) 人以上的公司必須設置資料保護長。組織必須針對處理其員工及客戶之個人可識別資訊的作法進行內部審查
• 對應儲存資料的內部及外部產品/裝置 - 記錄並要求所使用的公司設備屬於資料安全性政策的涵蓋範圍，並確保已經使用資料加密。項目包含但不限於：伺服器、硬碟機、SSD、USB 隨身碟、電腦及行動裝置
• 存貨分析 - 評估個人資料總數
• 清除 - 消除不必要個人可識別資訊 (PII) 的封存檔
• 資訊控制者 - 審查隱私權風險和影響評估
• 合作契約 - 自 2018 年 5 月生效開始日之後，現在執行政策是強制行為，確保您的企業永不過時
• 資料洩漏 - 法規要求必須在 72 小時內發出通知

解決方案 - 實施適當的保護、技術標準和政策，例如：個人資料/個人可識別資訊 (PII) 的資料加密，以緩解未遵循法規的風險 (瞭解詳情 – Encrypted USB 隨身碟標準最佳實務)

資料加密

• Kingston 及 IronKey Encrypted USB 隨身碟是標準化資料加密合規性的解決方案之一
• 採取「適當的技術及組織措施，以確保落實適合該風險的安全性等級，包含…對個人資料加密」(處理安全性第 32 條)
• 提案要求組織加密傳輸中及靜止狀態的敏感性資料。
• 要求處理或持有歐盟居民之個人可識別資訊的組織實施適切的安全性措施，以防止個人資料遺失。
• 組織必須將這些增強型資料處理標準納入與第三方服務提供者簽訂的合約。

擴大領土範圍 (額外領土適用性)

可說是資料隱私權之法規範圍的最大改變。

• GDPR 的延伸管轄權適用於處理居住於歐盟之資料當事人之個人資料的所有公司，無論這些公司所在地為何。

洩漏通知

在可行情況下，必須在得知資料洩漏的 72 小時內完成通知作業，但如果部會導致個人權利或自由的風險，則不一定要向 DPA 發出通知。