歐盟 一般數據保護法 (EU GDPR) 和 電子通信隱私保護法 (e-privacy) 合規認證與諮詢
介紹
在全球範圍實施“個人數據保護法”之後,歐盟於 2018 年 5 月 25 日起,正式要求歐盟管轄範圍內的機構、組織,必須符合歐盟一般數據保護法案 (EU GDPR, General Data Protection Regulation) 與 電子通信隱私保護要求。從此,落實個人數據與隱私保護,成為相關機構與組織的責任。
因此,組織必須建立系統化的管理機制(例如 ISO/IEC 27001 - 資訊安全管理系統, ISO/IEC 27701, 個人數據隱私管理系統 、ISO 29100 隱私保護框架... 等)一方面展現組織管理符合相關法規要求,另一方面,展現組織在處理個人數據時,遵守 EU GDPR 第 5 條要求的數據保護原則,例如,任命負責人員、整理個人數據類別與清單、教育和培訓、告知、數據保護和控制措施的專門人員。
為了證明組織的合規性,組織應考慮以下規定:
- 法規(EU)2016/679 - 歐盟一般數據保護法案 (EU GDPR, General Data Protection Regulation)
- 指令(EU)2016/680 - 刑事犯罪或刑事處罰的執行
- 關於“隱私”和“電子通信”的規定
適用對象
- 個人數據控制方 (controller) 和處理方 (processor);
- IT 或基於 Web 的服務、IT 產品開發人員、製造商;
- “智能服務”的相關服務提供商;
- 服務 / 供應鏈 /外包提供商。
服務目標
預期成效
- 通過德國 國家安全檢測實驗室的 “Trusted Site Privacy (TSP) " 評估,取得合規證書,展現其符合 EU GDPR 要求。
- 全面了解歐盟 EU GDPR 和數據保護合規性要求。
- 找出組織中改善個人數據保護的機會。
服務內容
| 內容 | |
|---|---|
| 目的: | 評估歐盟 EU GDPR 認證的可行性和初步界定專案範圍 |
| 時間與資源預估: | 3 ~ 5 天; |
| 活動: |
|
| 交付項目: |
|
| 內容 | |
|---|---|
| 目的: | 改善前一階段發現的缺失 |
| 時間與資源預估: | 1 ~ 3 個月 (根據發現缺失與客戶所投入的資源,可能不同); |
| 活動: |
|
| 交付項目: |
|
| 內容 | |
|---|---|
| 目的: | 驗證與確認 歐盟 EU GDPR 合規性與缺失改善 |
| 時間與資源預估: | 3 ~ 5 天; |
| 活動: | |
| 交付項目: |
|
| 內容 | |
|---|---|
| 目的: | 歐盟 EU GDPR 合規證明 |
| 時間與資源預估: | 1 個月; |
| 活動: |
|
| 交付項目: |
|
其他注意事項
- 上述資源與時間之預估,會根據組織所提供的資源、支援、個人數據處理、角色、產品、服務與過程的複雜程度進行調整。
- 客戶必須提供下列文件,以便進行服務討埨及可行性評估:
- 產品或服務行路、使用者手冊、使用情境;
- 產品或服務提供的安全功能、架構與規格;
- 產品或服務安全技術,例如
- 使用密碼演算法;
- 安全/交易金鑰管理;
- 支持軟件、硬件與固件。
- Trusted Site Privacy (TSP) 服務與 德國 國家安全檢測實驗室 合作提供。
Last modified: Thursday, 24 February 2022, 2:02 PM