歐盟 一般數據保護法 (EU GDPR) 和 電子通信隱私保護法 (e-privacy) 合規認證與諮詢


介紹

在全球範圍實施“個人數據保護法”之後,歐盟於 2018 年 5 月 25 日起,正式要求歐盟管轄範圍內的機構、組織,必須符合歐盟一般數據保護法案  (EU GDPR, General Data Protection Regulation) 與 電子通信隱私保護要求。從此,落實個人數據與隱私保護,成為相關機構與組織的責任。

因此,組織必須建立系統化的管理機制(例如 ISO/IEC 27001 - 資訊安全管理系統, ISO/IEC 27701, 個人數據隱私管理系統 、ISO 29100 隱私保護框架... 等)一方面展現組織管理符合相關法規要求,另一方面,展現組織在處理個人數據時,遵守  EU GDPR 第 5 條要求的數據保護原則,例如,任命負責人員、整理個人數據類別與清單、教育和培訓、告知、數據保護和控制措施的專門人員。

為了證明組織的合規性,組織應考慮以下規定:

  • 法規(EU)2016/679 - 歐盟一般數據保護法案  (EU GDPR, General Data Protection Regulation) 
  • 指令(EU)2016/680 - 刑事犯罪或刑事處罰的執行
  • 關於“隱私”和“電子通信”的規定 

適用對象

  • 個人數據控制方 (controller) 和處理方 (processor);
  • IT 或基於 Web 的服務、IT 產品開發人員、製造商;
  • “智能服務”的相關服務提供商;
  • 服務 / 供應鏈 /外包提供商。

服務目標

  • 服務合規 - 展現組織個人數據處理,符合 EU GDPR 的個人數據處理原則;
  • 技術合規 - 展現組織在技術上符合 EU GDPR 的要求,即加密、存取控制等。

預期成效

  • 通過德國 國家安全檢測實驗室的 “Trusted Site Privacy (TSP) " 評估,取得合規證書,展現其符合 EU GDPR 要求。
  • 全面了解歐盟 EU GDPR 和數據保護合規性要求。
  • 找出組織中改善個人數據保護的機會。

服務內容

 階段 1,歐盟 EU GDPR 合規 專案可行性評估

內容
目的:評估歐盟 EU GDPR 認證的可行性和初步界定專案範圍
時間與資源預估: 3 ~ 5 天;
活動:

    • 評估個人數據處理原則的合規性 (參考 GDPR 第 2 章);
    • 評估與數據主體權利有關的流程 (參考 GDPR 第 3 章);
    • 評估個人數據控制方和處理方的職責 (參考 GDPR 第 4 章)
    • 在法律方面,評估服務和個人數據處理流程的適法性;
    • 在技​​術方面,即在技術方面,評估 ICT 系統、服務和產品隱私保護的設計或預設條件 (參考 GDPR 條款第 16、25、32 條)

    交付項目:

    • 評估研討會議 (必要時,配合現場訪視)
    • 歐盟 EU GDPR 合規可行性評估報告


     階段 2,歐盟 EU GDPR 合規性諮詢與改善

    內容
    目的:改善前一階段發現的缺失
    時間與資源預估: 1 ~ 3 個月 (根據發現缺失與客戶所投入的資源,可能不同);
    活動:

      • 協助與準備歐盟 GDPR 法律和技術合規作業
      • 協助執行數據保護或隱私影響評估(PIA, privacy impact analysis) (參考 GDPR 條款第 35 條)
      • 協助、諮詢歐盟 GDPR 合規文件準備工作
      • (選項) 協助準備歐盟 GDPR 合規文件的準備,例如,管理系統(ISO/IEC 27001 、ISO/IEC 27701、ISO 29100、BS 10012);

      交付項目:

      • 專業諮詢服務;
      • (選項) 歐盟 GDPR 合規文件



       階段 3歐盟 EU GDPR 合規正式評估 

      內容
      目的:驗證與確認 歐盟 EU GDPR 合規性與缺失改善
      時間與資源預估: 3 ~ 5 天;
      活動:

      • 數據保護稽核,包括 (參考 EU GDPR 第 32 條, 第 25 條)
        • 相關的安全控制措施、資訊安全技術。
        • 法律,技術和網絡安全相關
      • Trusted Site Privacy (TSP) - 信任站點隱私- 歐盟 GDPR 合規性評估;
      • (選項) 供應商 - 個人數據處理方管理審評估 (參考 EU GDPR 第 28 條)
      • (選項) 組織網站 (Website) 歐盟 GDPR  合規評估審核 (適法性。依據 GDPR 要求,有可能包含技術審查)

      交付項目:

      • 稽核、評估、測試活動
      • Trusted Site Privacy (TSP) 合規評估報告; 



       階段 4,歐盟 EU GDPR 合規認證  (選項)

      內容
      目的:歐盟 EU GDPR 合規證明
      時間與資源預估: 1 個月;
      活動:

      • 評估前次評估缺失改善結果、文件審查、客觀證據確認,或者決定必須再次現場稽核之必要性。
      • 申請 Trusted Site Privacy (TSP) 認證;
      • Trusted Site Privacy (TSP) 驗證報告;

      交付項目:

      • Trusted Site Privacy (TSP) 證書 ; 


      其他注意事項

      1. 上述資源與時間之預估,會根據組織所提供的資源、支援、個人數據處理、角色、產品、服務與過程的複雜程度進行調整。
      2. 客戶必須提供下列文件,以便進行服務討埨及可行性評估:
        • 產品或服務行路、使用者手冊、使用情境;
        • 產品或服務提供的安全功能、架構與規格;
        • 產品或服務安全技術,例如
          • 使用密碼演算法; 
          • 安全/交易金鑰管理;
          • 支持軟件、硬件與固件。
      3. Trusted Site Privacy (TSP) 服務與 德國 國家安全檢測實驗室 合作提供。
      [ 聯絡我們 ]

      Last modified: Thursday, 24 February 2022, 2:02 PM