《通用数据保护条例》(欧盟 2016/679)于 2018 年 5 月 25 日生效,为现有的数据保护制度增添了新的要素和重大改进。.
角色与职责
在 GDPR 生效前,您可能已经考虑过是否需要正式任命一名数据保护官 (DPO)——如果符合以下情况,则必须任命:
- 您是公共机构或团体;或者
- 你的核心活动需要对个人进行大规模、定期和系统的监测;或者
- 你的核心业务包括大规模处理特殊类别的数据或与刑事定罪和犯罪有关的数据。.
许多组织选择指定个人或部门负责隐私保护工作,而无需正式任命数据保护官 (DPO)。确保组织内部数据保护的角色和职责得到充分了解并有据可查,是关键的合规要求。.
ROPA – 加工活动记录
如果您的组织拥有超过 250 名员工,则根据 GDPR(英国和欧盟)第 30 条的规定,您必须记录组织开展的数据处理活动。对于规模较小的公司,如果其处理的数据符合以下条件,也必须记录数据处理活动:
- 并非偶发事件
- 可能会对个人的权利和自由产生影响;
- 涉及特殊类别数据或刑事定罪和犯罪数据。.
您的 ROPA 应包含您的系统(包含个人数据)的数据图,以及有关处理的法律依据、数据处理的目的和方法、数据共享和数据保留政策和程序的信息。.
定期审查此文档非常重要,因为随着时间的推移,文档很可能会更新。.
ICO 还针对 ROPA 最佳实践提供了进一步的指导
政策和程序
您的政策和程序应明确列出您组织中涉及隐私相关领域的各项角色和职责:
- 数据保护和记录管理
- 信息安全,包括安全漏洞和事件管理
- 根据个人权利请求(例如查阅个人信息请求和信息通知)提供信息
- 通过设计和默认设置来确保在实施新系统、服务、产品和流程,或修改现有系统、服务、产品和流程时,相关问题得到考虑和记录(隐私影响评估)。
- 您网站上的隐私政策应定期审核,并清晰显示上次更新日期。
供应商管理
与代表您处理数据的机构签订合同至关重要。合同应详细列明数据处理过程,包括:
- 处理的主题
- 处理持续时间
- 处理的性质和目的
- 个人数据类型和数据主体类别
- 如果使用了任何子处理器。.
需要建立一套尽职调查框架,以确保这些组织具备符合 GDPR 要求的适当技术和组织条件。.
建议定期审查您与其他组织签订的合同和数据共享协议。.
训练
确保员工了解其在处理个人数据方面的责任至关重要。入职培训和复训应涵盖数据保护、潜在安全威胁以及贵组织的信息治理政策和架构等信息。监控和记录培训完成情况是证明合规性的重要环节。.
其他法律法规
英国还有其他一些与数据安全相关的法案和法规,其中包括:
- 2003 年《隐私和电子通信条例》(PECR) 涵盖了“垃圾邮件”和群发营销邮件。PECR 的相关法规也会不时发布。例如,关于网站使用 Cookie 的法规,以及 2016 年要求所有进行营销电话的人员必须显示其电话号码的法规。
- 《版权、设计和专利法》——2002年修订,涵盖软件盗窃
- 可能还有其他适用的 IT 标准和法规:例如,处理信用卡交易的公司需要确保遵守支付卡行业数据安全标准(PCI DSS) 。
来源和链接
ICO机构主页
欧盟 GDPR 门户网站 – www.gdpreu.org
