什麼是GDPR?
由歐洲議會,歐洲理事會和歐盟委員會制定的個人信息保護框架。 歐盟一般數據保護條例(GDPR:General Data Protection Regulation)是正式名稱。
在全球化和雲端服務的使用擴大以及所獲取和分析的數據大量增加(稱為大數據)的背景下,保護個人信息的重要性日益增加,同時由於網絡攻擊,內部欺詐等原因,個人信息也隨之增加。
信息洩漏的風險也迅速上升。
歐盟數據保護指令是一個“指令”,其中每個成員國的法律分別發布,但由於GDPR是“法規”,所有歐盟成員國共同的法律是否通用其中有很大的差異。
違反GDPR,最高可罰7億台幣!
一旦發現個資被盜用,需要在72小時內通報給資料保護主管機關(Data Protection Authority),如果沒有執行個資保護風險評估、沒有任命資料保護長、沒有即時通報、違法向第三國傳輸個資。
一旦違反以上狀況,會被處以2 千萬歐元(約新台幣7億元)或全球總營業額4% 的罰鍰。
由此可見,資料保護主管將會是未來稽核的重要角色!
三大產業影響最深
以台灣來說,網路零售、金融、航空運輸業可能受到最多的影響。
網路零售: 這是一個會處理大量個人識別資訊(PII)產業,包括跨境電商、連鎖商店、旅遊服務、餐飲,只要是替歐盟顧客服務,掌握信用卡資料、地址、基本個資,都屬於GDPR規範中。
金融: 金融機構持有大量個人識別資訊(PII),每當涉及個資需要傳輸到境外、處理或利用到歐盟民眾個資、海外設有分行、委外業務,都可能受到影響。
航空運輸: 以台灣華航、長榮兩家國營航空業者來說,目前在歐洲都有航點,不僅在海外設有辦公室,也需要頻繁處理大量旅客資料。
企業如何確保GDPR的法規遵循?
目前的國際監理機關的查核已非僅是確認企業是否建立有相關的辦法,而是要求企業需要實際的進行全資料的查核,來佐證其已盡所有能力來進行相關的查核。因此國際電腦稽核教育協會ICAEA台灣分會 會長黃秀鳳特別建議:「要確保企業遵循GDPR 的法規要求,稽核人員除需要了解法規來進行控制測試的查核外,更需要使用電腦稽核輔助工具(CAATs)來進行證實測試」。ICAEA建議企業應快速地進行下列三項工作:
第一步: 指派稽核人員接受專業的個資法電腦稽核查核技術學習。
第二步: 進行相關個資內控制度的盤點。
第三步: 進行相關個資管理有效性的證實測試電腦稽核。
ICAEA 大中華分會開設有相關的個資法電腦稽核專業認證課程,此課程採取上機實務演練的方式,來讓稽核人員可以透過實際的案例進行演練,有別於其他課程僅是觀念與理論的介紹,歡迎有興趣的同好來一起練功。
相關課程網站:
2018/09/13個人資料保護法查核-個資檔案管理查核實例演練
2018/10/04個人資料保護法查核-資料庫個資管理查核實例演練
參考文章:https://www.bnext.com.tw/article/49249/gdpr-general-data-protection-regulation-eu-
http://www.caa.org.tw/news-summary.asp
https://goo.gl/ntL58H