联系我们

杭州通准检测技术有限公司

地址:杭州市滨江区滨安路1266号(310052)

热线:400-168-7706

电话:0571-8791 5879

邮箱:info@testreport.cn

法规解读丨GDPR今日生效 SGS专家深度解读对企业的影响

时间 : 2018-05-25 21:23  来源 : 行业 作者 : 通准检测
《通用数据保护条例》(GDPR)于2016年4月27日在欧盟官方刊物上发表。试用期为二年,于今日正式生效(2018.5.25)。如果企业不合规被举报被查,罚款还不够引起重视的话,那么,类似某知名社交软件国际版下线升级的前车之鉴,能不能使企业醍醐灌顶?

GDPR不同于其前任《数据保护指令95/46/ EC》,不是一个指令而是一个法规。这意味着如果公司在2018年5月25日之后无法符合GDPR,那以后一旦被查,就要面临高达全球营业额的4%或2000万欧元的行政处罚(取两者之一最高)。

为了使企业能够很好的了解GDPR对中国公司的影响,小编特意采访了SGS专家Chris Yau,Chris特意回复了大家最关心的四个问题,以便广大企业能够更好的应对此法规。

Q:GDPR法规对中国公司影响有多大?

Chris Yau:

让我先解释一下该规定的适用性。本条例适用于:

(1)坦率地讲,如果公司在欧盟设有办事处,那么逃不掉受GDPR监管。

对于在欧盟没有分支或子公司的中小企业来说,这一点就不那么令人担忧了。然而,如果我的企业有一个网站,它从欧盟个人那里获取个人数据(例如,注册我的简报),那这就是在GDPR的监管之下(见下面第(2)条)。

(2)处理欧盟国家境内人员个人数据公司。而这些公司并不一定在欧盟境内,相关的个人也不一定是欧盟公民。欧盟中的任何个人都受到GDPR的保护。

例如,我在德国访问中国网站平台购买东西,那我的个人数据就会受到这一法规的保护。现如今手机应用和电子商务平台的流行,这种情况在中国可能是最令人关注的,因为企业的应用或网站可能会被欧盟境内的个人使用。这就是为什么GDPR对整个世界如此有影响力的法规的一个原因。

这些活动并不局限于网络。


例如,英国一名学生将他的成绩单(复印件)寄到中国的某所大学申请学位课程,这些成绩单受到GDPR的保护。这所大学不能把他的名字保存在营销数据库中,并在没有得到此学生明确同意的情况下,继续向他发送简报。
一位英国公民在中国某家酒店接待处登记,这项活动是由中国个人资料(私隐)条例保护的。

(3)在欧盟以外的公司,但在欧盟法律适用于国际法的地方。


如果一家公司在这些地方设有办事处,情况将类似于以上第(1)条。

以大使馆为例,例如,GDPR将适用于欧盟驻中国大使馆。如果一个欧盟国家驻中国大使馆雇佣当地的清洁公司到大使馆工作,那么该公司在使馆内的活动就会受到GDPR的监管。

从上面的介绍中可以看出,许多公司实际上正受到GDPR的影响。

Q:如何帮助中国公司适应并符合新法规?


Chris Yau:


要遵守法规,首先要了解法规。要先知法,才可以守法,因此参加一个关于这个主题的培训课程或研讨绝对会是一个好的开始。一旦企业了解监管,企业(或在专业人员的帮助下)可以开始整理企业收到的个人数据: 怎样获得,在哪里使用以及如何使用这些数据等等。这需要一些工作量,并且需要法规方面的专业知识和一般行业处理个人数据的良好实践。SGS提供基础意识课程来讲解法规的相关要求,并且有专业的团队对企业的工作流程和法规进行差距分析。


Q:对目前的市场反应有何看法?


Chris Yau:


从我们在工作、研讨会和培训中与我们交谈过的人那里,我们注意到许多人“听说过它,并且知道它在今年的某个时间会生效”。其中一些公司安排人员研究法规并遵守法规。根据我的观察,尽管许多人知道这一法规,但对法规要求的普遍意识并不高。其结果是,法规的重要性以及它们的公司应该如何应对,还没有得到充分的理解。


一些研究(Veritas GDPR 2017年报告)表明,31%的受访者认为他们的公司已经符合了法规要求,但是当被调查者被问及具体的GDPR要求时,他们没有给出能说明他们符合法规的答案。事实上,这些受访者中只有2%的公司实际符合了法规要求。从这项研究中我们可以看到,人们所感知到的和实际情况之间的差距有多大。

此外,许多人对数据隐私的印象是“我不会向任何人透露或分享你的数据”。实际上,还有更多的原则和要求。例如,跨境数据传输(你不能移动个人数据到欧盟以外的地方,除非在某些控制措施下),过度数据采集(如果你只是注册一个简报账号,他们会要求你的性别吗?),访问权(你有权利知道他们有你的什么数据),删除权(在你注销一个网站的账户后,网站是否删除你的数据?)等。中国和香港的隐私法也有类似的规定,但似乎人们唯一知道的是“不分享你的数据”。

Q:为了更好的应对GDPR,SGS可以提供哪些相关的服务?


Chris Yau:


1. GDPR意识培训:建立对GDPR的基本概念,理解符合GDPR的必要性,初步掌握GDPR所包含的内容和实施步骤,提升GDPR的管理意识。对GDPR的忽视,造成不符合GDPR, 可能面临高达全球营业额的4%或2000万欧元的行政处罚(取两者之一最高)。

2. GDPR法规讲解:GDPR法规正文共有99条,如何能够抓住要点?如何正确解读?GDPR法规讲解课程将会把整个法规的框架、核心内容及要点分层次全方位帮大家理清。最终建立对GDPR法规的条文的正确认识及实际工作应用。

3. DPO数据保护官课程:越来越多的企业离不开数据保护官来指导企业及相关员工履行GDPR的法律义务,监视企业相关的合规性,提出对数据保护影响评估的策划建议并执行监视数据保护影响评估等。此课程将会帮企业培养合格的数据保护官,使企业能够更好的符合GDPR的要求,避免不必要的风险,让企业能够更稳健的在欧盟拓展业务或合作。

4. GDPR差距分析及最佳实践指导:按照GDPR的99条法规正文,逐个部门检查企业目前实际履行法规状态,找出存在的差距,提交差距分析报告。报告内容包括GDPR符合性方面好的做法和存在的问题和不足。差距分析后,SGS专家会充分与企业相关人员沟通交流GDPR存在的问题与改进的建议,协助企业改进相关的问题和不足。

5. GDPR on-line service: GDPR网络在线服务,使企业客户能够在网上找到符合GDPR所必要的资源。客户需要创建账户并支付月费,服务通过在线评估的方式提供,支持SGS通过远程解决方案,如livechat,电子邮件,视频电话等方式。此服务目前没有中文版本,但有英文版本。

6. GDPR符合性审核:SGS专家团队按照GDPR法规开发出相应的检查表,若企业符合相关的内容,SGS将颁发GDPR符合性审核报告,证明企业的GDPR的合规性。

7. ISO 27001培训和认证:信息安全管理体系的培训和认证,用体系的方法来更加系统的解决相关的问题。

8. ISO 27018 培训和认证:公共云个人信息安全体系的培训和认证,可以把GDPR相关的内容直接结合到体系中,可以更加全面系统的解决相关问题。

9. ISO 29151培训和审核:个人信息保护认证体系的培训和审核,让企业能够把除GDPR外的其他个人信息保护法规或规范一起了解,用系统的方法使企业合规,规避不必要的风险。

10. 渗透测试:通过威胁建模和攻击面分析、应用系统安全评估、外网渗透测试、移动安全监测、源代码分析等找到相关产品的安全风险,为整改提供方向和思路,全面提高产品的安全性。


点击更多

标准解读

点击更多

相关下载