GDPR 正式實施 本港企業四大須知

新修訂的 GDPR 旨在加強保護個人資料及應對近年雲端、物聯網及大數據等資訊科技發展所衍生的私隱問題。此新例適用於全球範圍,位於歐盟境外的企業若擁有屬於歐盟公民的客戶,都必須遵循法例,否則將面臨鉅額罰款。隨著 GDPR 正式實施企業應該及早部署,例如更新內部資料私隱守則及網絡保安措施,以確保客戶及自身的資料受到 GDPR 保障。

歐盟於本月 25 日正式於全球實施最新修訂的「通用數據保障條例」(General Data Protection Regulation, GDPR),相信大家近日都收到各個網絡服務寄送的私隱條款更新通知電郵,個人用戶可藉此了解個人資料如何進一步受保障,企業亦有責任及早部署符合新規。

新修訂的 GDPR 旨在加強保護個人資料及應對近年雲端、物聯網及大數據等資訊科技發展所衍生的私隱問題。此新例適用於全球範圍,位於歐盟境外的企業若擁有屬於歐盟公民的客戶,都必須遵循法例,否則將面臨鉅額罰款,最高罰款額為企業全球營業額的 4%,或每次侵權 2,000 萬歐元,以較高者為準。隨著 GDPR 正式實施企業應該及早部署,例如更新內部資料私隱守則及網絡保安措施,以確保客戶及自身的資料受到 GDPR 保障。

對於 GDPR 本港企業有何須知,又要怎樣應對?數據管理方案商 Veeam 就提供了下列四大建議:

一、全面了解你所保存的數據和使用流程

GDPR 適用於持有歐盟公民數據或個人身份信息 (Personally Identifiable Information, PII) 的企業。企業千萬不要對 GDP置身事外,以為這只是 IT 或一般的合規問題。事實上,GDPR 與企業的營運及業務息息相關,只要有來自歐盟的客戶、合作夥伴或員工,都已受到 GDPR 的管制。因此,企業應全面了解自己擁有的所有數據,整合並製作出一個數據概覽,有助查看數據的存取權及使用方式。業務中的各個團隊和部門可能以不同的方式使用相同的數據,以達到不同的目的。無論是一個營銷部門存入潛在客戶的資料並與銷售團隊共享,或是人力資源部門需要處理員工的資料,企業必須標準化處理個人數據的程序及工作流程,並確保員工只有必要時才使用相關資料。同時,企業亦應該保證所有的利益相關者清楚理解新規例的要求,以及對他們的工作流程有何影響。

二、加強數據保護及制定數據洩露計劃

除了更好地管理數據並實施標準化流程,企業應該採取適當的保安措施以保護數據。建議企業透過檢視數據的儲存方式及程序,尋找出固中的安全弱點再增加支援,以降低觸犯規例的風險。

GDPR 要求持續的監控和風險評估,一旦發生數據洩露事件更必須於發現後 72 小時內通報事件。因此,企業必須及早計劃,以便迅速檢測、報告和處理數據洩露。透過採取全面的數據保護方案,科技為企業提供安全技術、標準化的工作流程、內部培訓、存取控制及備份解決方案等。有了持續的數據監控,企業能夠全面檢視所有存取數據的動態,並可對數據洩露做出更快速的回應。如果數據被惡意軟件攻擊,復原軟件也能有助保持數據可用。

三、進行數據審計及記錄

由 2018 年 月 25 日起,企業需要證明數據處理背後的法律依據,違規卻無法證明其數據活動的公司將受到 GDPR 執法機構的處分。因此,每個企業必須進行數據審計,清楚了解自己擁有哪些個人數據、其儲存位置、來源、持有的原因及方式。另外,GDPR 將在數據方面帶來更大的公民權利,大眾能夠查閱及要求企業刪除其資料。為保障這項權利,企業必須持續記錄及審核收集的數據,並標記每個數據點的位置,以便在必要時查閱它們。

四、持續改善

持續的監測和審核數據保護流程有助企業進行審查和改進。隨著我們的數碼應用不斷發展和擴大,企業對保護數據隱私的責任亦隨之而增加,他們必須確保數據的可用性、質量及安全性,不斷地改進以保持合規性。數據現時正迅速成為企業的重要資產,企業更應視 GDPR 為一個機會,重新檢視整個數據保護及儲存方式。