GDPR就要來的,你準備好了嗎?
隨著全球各國《個人數據保護法》的陸續實施,歐盟《一般數據保護法案(General Data Protection Regulation, 679/2016, GDPR )》(簡稱GDPR)即將於 2018 年 5 月 25 日全面實施。
美國與歐盟之間的歐美隱私權屏障架構(EU-US Privacy Shield Framework) 和即將全面實施的歐盟GDPR,均要求不論政府或者民間組織,有義務保護因為業務需要,所蒐集、處理、利用的個人數據。
重要的是歐盟該法案中規定了不論直接或間接識別到的個人的資料,都屬於個人數據範圍。組織必須依法建立一套系統化的管理機制(例如,引用 BS 10012 個人數據管理體系、ISO 29100 隱私保護框架等),符合 GDPR 條款 5 所要求的個人數據保護原則。規定了對違規行為嚴厲的處罰方式,以高額的行政罰款形式對任何類型的違反GDPR行為進行處罰。罰款範圍是1000萬到2000萬歐元(摺合約1.5億元人民幣),或者企業全球年營業額的2%到4%,並且以較大數額為準。
GDPR法案全面實施,數以萬計的企業組織將必須遵守,那麼哪些組織的業務需要符合GDPR規定呢?
GDPR與其前身數據保護指令(指令95/46 / EC)相比,適用於更大範圍的組織。事實上,不受歐洲隱私法律約束的許多企業實際上需要遵守GDPR,GDPR用於在歐盟存在的在執行業務活動期間涉及處理個人數據的所有組織,即使是規模最小的公司、在歐盟沒有實體存在的組織希望為歐盟居民提供商品和服務(包括使用歐盟語言或貨幣、為歐盟居民量身定製產品,或在歐盟範圍內積極營銷、在線跟蹤人員創建個人資料,或分析和預測個人偏好、行為模式或態度等)全部需要遵守GDPR。
綜上所述,按編者理解只要是已經或正在準備與歐盟體系內的26個國家有經濟業務往來,不論您的產品或服務是可以直接還是間接識別到個人的資料,事實上都需要遵守GDPR法律規定。借用Veritas公司執行副總裁兼首席產品官邁克·帕爾默(Mike Palmer)的警告:“如果不作出反應,則會導致企業的業務、品牌聲譽以及生存能力遭遇重大危機。”GDPR頒佈後,整套法律規定條款均可以公開查詢到,但問題是我們的企業要知道如何操作才可以被認定符合這套法案中的個人數據保護規則,這是最最重要的!據之前有關數據統計:亞太90%的企業都不清楚歐盟GDPR數據保護條例。更談不上懂得如何使自已的組織所提供的產品或服務被認定符合GDPR中的個人數據保護規則,目前在中國SCA聯盟是少數可以為企業提供有關GDPR諮詢指導的組織。
閱讀更多 SCA聯盟 的文章
