歐盟資料保護一般規則 (General Data Protection Regulation GDPR) 與BS10012:2017個資管理系統(PIMS)

GDPR簡述

(資料節錄自：法務部, 歐盟資料保護一般規則 (General Data Protection Regulation GDPR) 與我國個人資料保護法之重點比較分析https://www.ndc.gov.tw/Content_List.aspx?n=92A54D2FBC1D329E、GDPR本文。)

歐洲議會及歐盟理事會於2016年4月27日通過歐盟規則第2016/679號「歐盟資料保護一般規則(General Data Protection Regulation GDPR)」，將自2018年5月25日開始施行，取代1995年制定之「資料保護指令（Data Protection Directive）」藉以提升及確保對於歐盟境內資料當事人權利保護之一致性(特別是網路活動)，並排除個人資料在歐盟境內流通之障礙。

GDPR第5條 個人資料處理原則：一、合法性、公正性及透明之處理 二、目的限制性 三、最少蒐集原則 四、正確性 五、儲存限制性 六、確保完整性和保密性。

GDPR關於隱私及認證要求條款舉例

(資料：GDPR本文)

隱私要求

•Article 4 Definitions 定義,(5) Pseudonymisation 擬匿名化 假名化

•Article 25 Data protection by design and by default 設計及預設之資料保護

•Article 32 Security of processing 處理之安全

•Article 35 Data protection impact assessment 資料保護影響評估

•Article 46 Transfers subject to appropriate safeguards 須遵守適當保護措施之移轉

認證要求

•Article 40 Codes of conduct 行為守則

•Article 41 Monitoring of approved codes of conduct 經核准之行為守則之監管

•Article 42 Certification 認證

•Article 43 Certification bodies 認證機構

常見國際個資隱私管理系統

BS10012:2017 Personal Information Management System (PIMS) 個人資訊管理系統簡介

本標準的目的是讓組織能夠備妥個人資訊管理系統( PIMS)，作為整體資訊管理基礎設施的一部分；提供一個架構，讓組織能維持和改善對資料保護法律及優良實務的遵循。此新版 BS 10012 已被歐洲議會於2016年4月14日時被認可且被歐盟一般資料保護法規(GDPR)所承認並發行，將於2018年5月28日取代自1998年英國開始施行的資料保護行動European Directive(95/46/EC)。(節錄自 BS10012 條文 0.1)

BS10012 有七個原則需要資料管控者負責，並要能夠展現與上述GDPR六個原則的符合性。

原則一：合法、公平及透明的處理。

原則二：只能為了特定合法的目的而取得。

原則三：適切、相關及有限制，以符合資料限制原則。

原則四：正確並適時更新，盡力避免超過應刪除或修正的時間。

原則五：以允許鑑別的方式作儲存並且不可超過所需的時間。

原則六：以技術和組織化量測方式確保個人資訊適當的安全、誠信及隱私。

通則：上述原則之歸責性。(節錄自 BS10012 條文 0.2)

主要章節與GDPR 規範關係

主要章節：0. 簡介 (0.1 概述 0.2 資料保護原則 0.3 告知)、1. 範圍、2. 引用標準、3. 術語和定義、4. 組織背景、5. 領導統御、6.規劃、7. 支援、8. 營運、9. 績效評估、10. 改善。

GDPR 規範重點 BS10012 對應條文舉例：

一、進行個資處理等活動前，必須獲得個資當事人明確同意(Art.4(11)unambiguous consent、Art.7 等 6.1.3.1

二、隱私保護及資料保護措施 (Art.25 Privacy by Design) 6.1.7

三、個資當事人之權利：資料存取權 (Art.15 Right to Access )8.2.12.2、資料被遺忘權 (Art.17 Right to Forgotten) 8.2.12.4、資料可攜權 (Art.20 Data Portability) 8.2.12.6

四、跨國資料傳輸規定適當資料保護規範及機制之國家 (Art.44以下 8.2.11.8

五、設立資料保護官 (Art.37~39 data protection officer) 8.2.1.2

(參考資料： BS10012:2017 條文、 SGS2018 資訊治理年會)