欧盟个人数据保护法 (EU GDPR) 和 电子数据隐私法 合规认证和咨询

EU GDPR and EU ePrivacy Regulation Compliance Improvement and Certification


介绍

在全球范围内实施“个人数据保护法”之后,欧盟于2018年5月25日实施了美国与欧盟之间的《欧盟-美国隐私保护框架》,《欧盟通用数据保护条例》(EU GDPR),它要求各机构有义务保护个人隐私数据。

因此,各机构必须建立系统的管理机制(例如引用BS 10012:2017,PIMS,个人数据管理体系或ISO / IEC 27701:2019,PIMS隐私信息管理体系)以满足法规要求。在GDPR第5条要求的数据保护原则,例如,任命专职人员负责个人数据盘点,教育和培训,沟通,通知等,另一方面,可以有效落实个人数据保护措施(例如,结合ISO 27001信息安全管理体系和ISO 22301业务连续性管理)。

为了证明自身合规性,各机构应深入了解以下法律法规: 

  • 法规(EU)2016/679-欧盟GDPR(通用数据保护法案)
  • 指令(EU)2016/680-刑事犯罪或刑事处罚的执行
  • 关于“隐私”和“电子通信”的规定 

 

谁应该参加?

  • 个人数据控制者和处理者;
  • IT 或基于 Web 的服务、IT 产品开发人员,制造商;
  • 基于“智能”的产品/服务提供商;
  • 服务/供应链/外包提供商

服务目标

  • 证明处理个人数据符合EU GDPR的个人数据处理原则; 
  • 证明在技术上符合欧盟GDPR的要求,即,加密,访问控制等


服务成效

  • 通过 TUViT的 “Trusted Site Privacy(可信站点隐私保护证书)”证明自身符合 EU GDPR。(可针对流程、服务和产品等不同业务进行认证)
  • 全面了解欧盟 EU GDPR和数据保护合规性要求。
  • 找出改进自身机构对个人数据保护的需求

服务大纲

 阶段 1,欧盟 EU GDPR 合规性初步评估(也称为“项目范围界定”)

內容
目的:评估欧盟 EU GDPR 认证的可行性和初步范围
時間與資源預估: 3 ~ 5 天;
活動:

  • 评估个人数据处理原则的合规性,即 EU GDPR 第2章;
  • 评估与数据主体权利相关的流程,即 EU GDPR 第3章;
  • 评估个人数据控制者和处理者的职责,即 EU GDPR 第4章
  • 在法律方面评估服务和个人数据处理流程;
  • 在技术方面评估信息通信(ICT)系统、服务和产品。即 EU GDPR第32章,第16条。EU GDPR 第25章(产品/服务设计中或产品/服务默认情况下的隐私保护);

交付項目:

  • 欧盟  EU GDPR 合规评估报告



 阶段 2,欧盟 EU GDPR 合规性咨询和改进

內容
目的:改善已发现的缺陷 
時間與資源預估: 1 ~ 3 個月;
活動:

  • 针对法律和技术评估的准备工作进行服务支持
  • 根据 EU GDPR 第35章,针对数据保护或隐私影响评估(PIA)提供支持。
  • 基于 EU GDPR 的要求为准备文档或编写组织机构政策提供支持和咨询(例如,数据保护政策)
  • (可选) 欧盟EU GDPR 合规性文本文档的准备,即数据保护管理体系; (according to ISO/IEC 27001, ISO/IEC 27701, BS 10012);

交付項目:

  • 专业的咨询及相应支持服务; 
  • 所需支持的文档化文件; 



 阶段 3,欧盟EU GDPR 合规性二次评估 

內容
目的:验证和确认针对欧盟 EU GDPR 合规性的改进
時間與資源預估: 3 ~ 5 天;
活動:

  • 数据保护审计,包括与 EU GDPR 第32章和第25章(设计或默认情况下的隐私保护)相关的技术和/或IT安全部分。可能涵盖法律、技术和网络信息安全技术内容
  • TUViT Trust Site Privacy 评估-欧盟 EU GDPR 合规性评估
  • (可选)根据 EU GDPR 第28章条款,针对数据处理者管控,进行供应商审核(处理者协议)
  • (可选)视频监控审计(例如,针对酒店集团或其他相关组织的 EU GDPR 合规性管控)
  • (可选)网站审计(根据 EU GDPR 可能是法律方面的,也可能是技术方面的)

交付項目:

  • TUViT Trust Site Privacy评估报告; 



 阶段4,欧盟  EU GDPR 合规性认证(可选) 

內容
目的:证明符合欧盟 EU GDPR
時間與資源預估: 1 個月;
活動:

  • 通过文件审查结果,审查客观证据和/或进行额外的现场评估;
  • 申请 TUViT Trust Site Privacy 认证;
  • TUViT Trust Site Privacy 认证报告;

交付項目:

  • TUViT Trust Site Privacy 证书 ; 


其他注意事項

  • 咨询的时间和资源取决于个人数据处理过程或产品的复杂性。 
  • 客戶必須提供下列文件,以便進行服務討埨及可行性評估:
    1. 產品或服務行路、使用者手冊、使用情境;
    2. 產品或服務提供的安全功能、架構與規格;
    3. 產品或服務安全技術,例如
      • 使用密碼演算法; 
      • 安全/交易金鑰管理;
      • 支持軟件、硬件與固件。
  • 该服务与德国 TUViT 合作
  • [ 聯絡我們 ]

Last modified: Thursday, 1 October 2020, 4:43 PM