GDPR 正式實施　本港企業四大須知

歐盟於本月 25 日正式於全球實施最新修訂的「通用數據保障條例」(General Data Protection Regulation, GDPR)，相信大家近日都收到各個網絡服務寄送的私隱條款更新通知電郵，個人用戶可藉此了解個人資料如何進一步受保障，企業亦有責任及早部署符合新規。

新修訂的 GDPR 旨在加強保護個人資料及應對近年雲端、物聯網及大數據等資訊科技發展所衍生的私隱問題。此新例適用於全球範圍，位於歐盟境外的企業若擁有屬於歐盟公民的客戶，都必須遵循法例，否則將面臨鉅額罰款，最高罰款額為企業全球營業額的 4%，或每次侵權 2,000 萬歐元，以較高者為準。隨著 GDPR 正式實施企業應該及早部署，例如更新內部資料私隱守則及網絡保安措施，以確保客戶及自身的資料受到 GDPR 保障。

對於 GDPR 本港企業有何須知，又要怎樣應對？數據管理方案商 Veeam 就提供了下列四大建議：

一、全面了解你所保存的數據和使用流程

GDPR 適用於持有歐盟公民數據或個人身份信息 (Personally Identifiable Information, PII) 的企業。企業千萬不要對 GDPR 置身事外，以為這只是 IT 或一般的合規問題。事實上，GDPR 與企業的營運及業務息息相關，只要有來自歐盟的客戶、合作夥伴或員工，都已受到 GDPR 的管制。因此，企業應全面了解自己擁有的所有數據，整合並製作出一個數據概覽，有助查看數據的存取權及使用方式。業務中的各個團隊和部門可能以不同的方式使用相同的數據，以達到不同的目的。無論是一個營銷部門存入潛在客戶的資料並與銷售團隊共享，或是人力資源部門需要處理員工的資料，企業必須標準化處理個人數據的程序及工作流程，並確保員工只有必要時才使用相關資料。同時，企業亦應該保證所有的利益相關者清楚理解新規例的要求，以及對他們的工作流程有何影響。

二、加強數據保護及制定數據洩露計劃

除了更好地管理數據並實施標準化流程，企業應該採取適當的保安措施以保護數據。建議企業透過檢視數據的儲存方式及程序，尋找出固中的安全弱點再增加支援，以降低觸犯規例的風險。

GDPR 要求持續的監控和風險評估，一旦發生數據洩露事件更必須於發現後 72 小時內通報事件。因此，企業必須及早計劃，以便迅速檢測、報告和處理數據洩露。透過採取全面的數據保護方案，科技為企業提供安全技術、標準化的工作流程、內部培訓、存取控制及備份解決方案等。有了持續的數據監控，企業能夠全面檢視所有存取數據的動態，並可對數據洩露做出更快速的回應。如果數據被惡意軟件攻擊，復原軟件也能有助保持數據可用。

三、進行數據審計及記錄

由 2018 年 5 月 25 日起，企業需要證明數據處理背後的法律依據，違規卻無法證明其數據活動的公司將受到 GDPR 執法機構的處分。因此，每個企業必須進行數據審計，清楚了解自己擁有哪些個人數據、其儲存位置、來源、持有的原因及方式。另外，GDPR 將在數據方面帶來更大的公民權利，大眾能夠查閱及要求企業刪除其資料。為保障這項權利，企業必須持續記錄及審核收集的數據，並標記每個數據點的位置，以便在必要時查閱它們。

四、持續改善

持續的監測和審核數據保護流程有助企業進行審查和改進。隨著我們的數碼應用不斷發展和擴大，企業對保護數據隱私的責任亦隨之而增加，他們必須確保數據的可用性、質量及安全性，不斷地改進以保持合規性。數據現時正迅速成為企業的重要資產，企業更應視 GDPR 為一個機會，重新檢視整個數據保護及儲存方式。