近期有些相關報告指出,歐盟自2018年推出資料隱私法律GDPR(General Data Protection Regulation)生效以來,至今向違反條例的企業施加的罰款,已經約有1.14億歐元(約9.8億港元)。這的確是一項影響全球大小企業的法律,企業絕對不容忽視。
筆者在此先簡介GDPR中一些要求重點,再簡述作為GDPR資料保護員的角色和責任。
GDPR會對收集或處理個人資料的組織,施加各式各樣的要求,包括符合6大主要原則的要求:
1.處理和使用個人資料的透明度、公平性和合法性。需要讓個人清楚了解如何使用個人資料,及處理該資料的合法基礎。
2.將個人資料處理限制為指定、明確和合法用途。不得將資料應用在與當初目的不相關的用途上或揭露個人資料。
3.將個人資料的收集和儲存最小化至與預定用途相關的程度。
4.確保個人資料正確性,並能夠刪除或更正。需採取相關步驟,確保所保留之個人資料的正確性,並能夠在發生錯誤時進行修正。
5.限制個人資料儲存。需確保所保留之個人資料的期限為達成收集資料的預定用途所需時間。
6.確保個人資料的安全性、完整性和機密性。企業組織必須採取相關步驟,透過技術和組織安全性措施保護個人資料。
雖然大多數主要系統平台廠商(如 Microsoft、Amazon),會在企業邁向GDPR 的過程中提供協助,但企業仍需要了解自己的組織對於GDPR有哪些具體義務,及如何符合這些義務。
其中一環是企業需要安排一位資料保護員(Data Protection Officer,簡稱DPO),作為業務組的獨立顧問,並明確保所有關於個人資料的處理建議都符合歐盟法律要求及企業標準。DPO應以適當而及時的方式,參與個人資料保護相關的所有關鍵問題。
在一定程度上,DPO要負責企業所有「資料保護影響評估」(Data Protection Impact Assessment,簡稱DPIA)的工作,包括進行審閱和提供建議等。DPIA計劃旨在評估企業處理所有個人資料是否合符GDPR的規定,因此DPO 需在公司的全域層面作出深入視察,並就企業在個人資料處理方面如何能符合GDPR所規定須履行的責任,向企業報告及提出相關建議。
此外,DPO亦須負責監察企業對適用的資料保護法規,其中包括GDPR及企業內部策略和控制等方面的遵循情況。
筆者認為,隨著GDPR受到各大小企業的關注,如能裝備自己成為DPO,也是個不錯的事業發展方向,可以在芸芸專才中,在市場上建立獨特定位。
文:原卓煒
香港電腦學會網絡安全專家小組執行委員會成員