GDPR合規——從任命資料保護官(DPO)開始



2019年2月28日 | 管理系統

      

或許是因為歐洲將於5月25日生效資料保護和隱私監管法規(GDPR),所以騰訊QQ國際版決定從5月20日開始停止歐洲方面的服務。——舜網 2018年4月14日

遊戲《槍械師》受GDPR影響,將於5月24日關閉伺服器

——鳳凰科技2018年5月8日

歐盟新資料保護法即將實施,谷歌、Facebook已修改政策

——騰訊證券 2018年5月21日

智慧家居產業鏈發展“攔路虎”:GDPR法規?

——OFweek 2018年5月22日

 

2018年5月25日,GDPR歐盟通用資料保護條例正式生效。

GDPR具有普及性

凡在歐盟地區能夠獲取或處理個人資訊的企業和機構,通常如:

• 歐盟境內企業

• 在歐盟有海外銷售公司或分支機搆的跨國企業

• 有網站且能在歐洲獲取個人資訊的企業

• 互聯網企業和需要註冊搜集資訊的任何APP企業

• 智慧汽車及主要電子零組件供應商

• IT通訊設備企業

• IoT智慧家居產品生產企業

• 醫療器械生產企業

• 酒店/餐飲/醫療機構等

 

企業從2018年中開始將面臨三個選擇:

• 在2018年5月25日之前退出歐盟市場,停止向歐盟居民提供服務(包括免費的服務);

• 在2018年5月25日之後接受全球最高營業額4%或2000萬歐元(兩者取最高)的罰單後再去面對;

• 現在開始主動完成歐盟GDPR的合規性要求。

 

資料保護官(DPO)

雖然GDPR並未規定所有企業必須設立資料保護官(DPO)。但是,在以下三種情況下,必須設立資料保護官(DPO):

1. 機構為公共主體;

2. 機構對資料主體的資料監控和使用是系統性和常規化的,且規模較大(企業員工大於250人);

3. 機構涉及搜集和處理一些敏感性資料,例如犯罪資料、醫療資料、生理資料等等。

 

補充說明:

1. 很多SME(中小型企業)認為自己規模較小無需設立DPO。事實上,如果單純地依據企業規模來確定是否需要設立DPO是錯誤且危險的認識。是否必須設立DPO與企業規模大小無直接關係,還要查一下監管的要求。

2. 對DPO設立的問題每個歐盟國家可能存在特殊的要求。例如,德國聯邦資料保護法案要求,如果企業擁有10名以上員工需要經常性處理使用者資料,那麼企業必須設立DPO。

3. 根據European Article 29 Working Party (WP29),作為GDPR合規的一項,DPO的設立被監管部門強烈推薦。

 

資料保護官(DPO)的職責 Q&A

DPO的職責究竟是什麼?

• DPO需要向服務的企業和企業員工提供GDPR資料保護方面的資訊和建議;

• 對企業GDPR合規以及資料保護方面所做的工作進行監管;

• 對企業data protection impact assessments(DPIAs)方面工作的參與和管理;

• 作為溝通管道,與歐洲GDPR監管部門保持聯繫,負責資料外泄的緊急彙報;

• 負責同資料主體溝通和聯繫,協助實現資料主體的資料權利;

• 客觀獨立的履行自己的職責,不應因雇主行政命令而影響客觀事實和結論;

• 擔任企業或機構負責人的資料保護管理諮詢顧問。

 

誰可以擔任DPO?是否必須是內部員工嗎?

• 企業通常存在的誤區是,DPO是否必須由內部高級管理人員或法律背景的人擔任。

• 首先,GDPR沒有對DPO提出任何資格要求,不需要是法律人士。

• 其次,如果由內部高級主管(CEO、COO、CFO、市場總監、HR總監、IT總監等)來擔任DPO,很難避免不存在利益上的衝突,所以高級主管擔任DPO需謹慎。

• 建議:DPO最好是對資料保護相關法規(特別是GDPR)有深入瞭解的、同時對資訊技術和資料保護技術有足夠知識的專業人士。而且,越是複雜的資料保護和資料合規情況,對DPO的專業水準要求越高。

 

資料保護官(DPO)人員資格認可

 

企業資料保護官培訓與人員資格認可(依據歐盟通用資料保護條例 EU-GDPR)

作為德國驗證機構認可的人員資格驗證機構,我們具備國際公認的資格與技能測評條件。PersCert TÜV頒發的人員資格證書是您的公司、協會、學校和培訓機構走向成功的一個至關重要的因素。證書由獨立的專業機構頒發,用於證明被授予人已具備既定培訓目標所要求的資格和技能。我們以專業知識及其中立性見長,長期以來,PersCert TÜV所頒發的人員資格證書贏得了 產業廣泛認可。

德國萊因 TÜV學院秉承多年來在德國及歐洲的資料保護專業研究為您精准解讀GDPR相關法規,並幫助企業按法規強制要求培養專業資料保護官(DPO),並根據企業需求協助企業建立全面的資料保護管理系統,為企業合規和業務發展保駕護航

 

針對人群:

• 公司中從事供應鏈管理、資訊安全管理、品質管制、IT及公司法務相關工作的員工

• 公司中有意向或準備成為資料保護官的員工

 

能力輸出:

• 熟知資料保護領域的法律法規要求

• 組織公司內部資料保護和資料安全的相關活動

• 熟知身為資料保護官的權利及責任,並能夠有效的實施和監督資料保護管理系統

 

延伸閱讀

資料自有黃金屋 資料保護更刻不容緩

當網路安全成為消費者和品牌的重要考量,物聯網設備該何去何從?

嶄新的世界——物聯網與無線傳輸的6個大哉問