要建立Facebook粉絲專頁嗎?挪威資料保護主管機關的答案是No

就像許多政府機關喜歡透過社群平台與民眾交流,資料保護主管機關當然也不例外。挪威資料保護主管機關(Datatilsynet)於2021年9月22日宣布其將不會使用Facebook建立粉絲專頁,由於經過資料保護影響評估(Data protection impact assessments)後,其認為透過Facebook粉絲專頁處理個人資料對使用者權利與自由的風險過高,且Datatilsynet也無法落實歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第26條關於共同控制者等規定,甚至無法透過實施適當措施來降低相應風險。Datatilsynet表示其應為第一個依據GDPR規定對Facebook粉絲頁面進行全面性的組織,其並非基於監督者的角色,而是從控制者的角色去進行相關評估。同時Datatilsynet也發布「Risk assessment: Should the Norwegian Data Protection Authority create a Page on Facebook?」報告,期望引起相關使用社群媒體的討論。

風險評估與共同控制者

Datatilsynet認為,經過風險評估後,透過Facebook粉絲專頁處理個人資料對使用者權利與自由的具有高度的風險。同時依據歐洲法院(European Court of Justice, ECJ)的WirtschaftsakademieFashion ID 的兩項裁決,社群媒體與其他方之間的互動可能構成GDPR第26條共同控制,而須符合相關規定,但Datatilsynet認為其無法透過與Facebook成立單獨的協議來遵循相關規定。

必要性與適當性

Datatilsynet接著評估資料處理的必要性和適當性(Necessity and proportionality),以確保以資料控制者的身分做出的決策是合法的,並且以與目的相符的方式進行處理。其評估GDPR資料保護原則、資料主體的權利與資料主體的自由是否受到保護。評估結果認為儘管Datatilsynet作為粉絲專頁所有者,同時具有保護資料主體的法律依據,並遵循相關資料保護原則,但Datatilsynet使用粉絲專頁將會受到Facebook 及其條款的支配。同時,Datatilsynet還認為Facebook沒有充分落實GDPR第25條關於資料保護設計與預設(data protection by design and by default)的規定,以提供適當的資料保護。

資料主體觀點

Datatilsynet從資料主體的角度出發,評估資料主體行使相關權利時是否受到保障,包含透明性(Transparency)、可預期性(Predictability)以及Datatilsynet很可能無法以積極的方式協助資料主體行使其權利。

結論

Datatilsynet工作小組依GDPR第35條進行前述DPIA,並依同條第2項規定諮詢資料保護長(Data protection officer, DPO)後,提交相關報告予管理階層討論,Datatilsynet考量前揭DPIA結果與DPO的建議後,決定不於Facebook上建立粉絲專頁與透過粉絲專頁與民眾進行交流。附帶一提,Datatilsynet目前是透過Twitter來經營其社群媒體。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.WHATSAPP因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元
2.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元
3.如何落實GDPR法遵?英國ICO發布問責制框架
4.個資外洩,該怎麼辦?
5.歐盟法院SCHREMS II案與常見問答

WhatsApp因違反GDPR遭愛爾蘭資料保護委員會裁罰2.25億歐元

愛爾蘭資料保護委員會(Data Protection Commission, DPC)於2021年9月2日公布對WhatsApp Ireland Ltd. 歐盟一般資料保護規則(GDPR)的調查與結論,過程中審查WhatsApp是否已落實其對WhatsApp的使用者與非使用者之透明性原則,包含向資料主體提供有關WhatsApp與Facebooke之間資料處理的資訊。

自2018年12月10日開始,DPC便開始著手調查,經過漫長的程序之後,DPC於2020年12月依據GDPR第60條向所有相關主管機關(Concerned Supervisory Authorities, CSA)提交一份決定草案,且隨後即收到8個CSA的反對意見,由於DPC無法與CSA就反對意見達成共識,並於2021年6月3日觸發GDPR第65條的爭端解決程序(dispute resolution process)。

2021年7月28日,歐盟資料保護委員會(European Data Protection Board, EDPB)通過具有拘束力之決定,該決定明確要求DPC根據EDPB的決定所包含的因素進行重新評估,並提高原先擬議的罰款金額,在重新評估後,DPC決定對WhatsApp處以2.25億歐元的罰款。除此之外,DPC還命令WhatsApp應採取補正措施落實對於GDPR的法令遵循。

以下是DPC對於WhatsApp最終決定的摘要:

一、對非使用者(non-users)的透明性

1.在lossy hashing之前,非使用者的電話號碼構成個人資料。

2.在lossy hashing之後,非使用者的電話號碼亦構成個人資料。

DPC原先認為經過lossy hashing後的電話號碼並不構成GDPR的個人資料,然而EDPB強調個人資料的判斷因素與資料是否可直接或間接識別個人,以及資料控制者或第三方能夠於資料集(dataset)中挑選(single out)出資料主體的技術能力有關。EDPB參考第29條工作小組(WP29)關於匿名化的指引,認為K-Anonymity的方法僅能避免遭挑選出來的風險,而無法避免被連結(linkability)或被推論(inference)的風險。而lossy hashing後的電話號碼仍然有連結與推斷資料主體的風險,WhatsApp也具有此等能力,因此lossy hashing後的電話號碼應構成個人資料。

3.WhatsApp係基於資料控制者的地位處理非使用者個人資料。

4.WhatsApp對非使用者個人資料未能遵循GDPR第14條,即間接蒐集時的告知義務。

二、對使用者的透明性

1.未落實GDPR art.13(1)(c)與12(1)的規定

2.未落實GDPR art.13(1)(d)的規定

3.未落實GDPR art.13(1)(e)與12(1)的規定

4.未落實GDPR art.13(1)(f)與12(1)的規定

5.未落實GDPR art.13(2)(a)的規定

6.未落實GDPR art.13(2)(c)與12(1)的規定

7.WhatsApp儘管已遵循GDPR art.13(2)(d)規定,但須遵循關於在WhatsApp「您如何行使權利」部分提及該權利的指示,確保資料主體所需的資訊放在其可能希望找到的地方。

8.未落實GDPR art.13(2)(e)的規定

三、就WhatsApp與Facebooke之間任何資料共享的透明性

WhatsApp就其與Facebook之間的運作未證明其遵循GDPR art.13(1)(c)、13(1)(d)、13(1)(e)與12(1)之規定。除非WhatsApp具有具體的計畫包含明確且即將開始的日期,以基於安全(safety)與保護(security)的目的,於控制者對控制者基礎上與Facebook間共享個人資料,否則該關於法律基礎告知與Facebook FAQ相關誤導資訊應予以刪除,以反映真實情形。

四、透明性原則

綜合上述,WhatsApp並未證明其符合GDPR art.5(1)(a)之透明性原則。

最後,DPC參考歐盟法院競爭法的判決,由於Facebook公司能夠對WhatsApp施加決定性影響(decisive influence),認定WhatsApp與Facebook公司構成「歐洲聯盟運作條約(Treaty on the Functioning of the European Union, TFEU)」第101條與第102條的企業(undertaking),因此相關罰款將依據Facebook Inc.所領導的集團總營業額為計算基礎。

※你可能會對這些文章有興趣
1.荷蘭資料保護主管機關因兒童隱私保護不足裁罰TIKTOK75萬歐元
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

荷蘭資料保護主管機關因兒童隱私保護不足裁罰TikTok75萬歐元

荷蘭資料保護主管機關(The Dutch Data Protection Authority, DPA)於今年7月22日宣布裁罰TikTok75萬歐元(約新台幣2477萬元)。荷蘭DPA認為TikTok應用程式在安裝與使用時對荷蘭使用者提供的資料是以英文呈現,使用者難以理解其內容。 TikTok 有許多的兒童使用者, TikTok 缺乏對應用程式如何蒐集、處理與利用個人資料,對這些使用者提供充分且清楚的解釋,構成對隱私權的侵害。

荷蘭DPA的調查

在荷蘭,有許多的兒童手機都安裝有 TikTok ,荷蘭DPA因為考量兒童隱私問題,針對該應用程式進行深入調查。兒童在法律上被視為特別脆弱的群體,其很少能夠意識到自身行為所帶來的影響與後果,包含在社群媒體上分享個人資料所帶來的影響。因此,資料保護法針對兒童給予特別的保護。

對總部設在歐洲的公司,主要由總部所在的歐盟成員國負責監督其營運活動,而如果一家公司沒有在歐洲設立總部,則任何歐盟成員國都能對其營運活動進行監督。荷蘭DPA表示,在調查當初 TikTok 尚未在歐洲設立總部,直到後來才在愛爾蘭設立部門。因此DPA只被授權針對 TikTok 的隱私權聲明進行調查,其他隱私侵害行為則由愛爾蘭資料保護委員會接手後續調查與處理。

預防數位誘拐與網路霸凌措施

去年10月時,荷蘭DPA向 TikTok 提出調查結果報告,後續 TikTok 進行一連串的改變,致力於使應用程式對16歲以下的兒童更加安全。然而,兒童在建立其帳號時,仍然可以透過填寫不同的年齡來假裝為成年人,這樣的機制讓兒童暴露於風險之中,這個問題仍然尚待解決。

兒童隱私保護趨勢

未來隱私論壇(The Future of Privacy Forum)於今年7月28日發布「資料保護未來趨勢觀察:2021-2022歐洲資料保護主管機關監管策略(Insights into the future of data protection enforcement: Regulatory strategies of European Data Protection Authorities for 2021-2022)」報告,該份報告整理與分析法國、葡萄牙、比利時、挪威、瑞典、愛爾蘭、保加利亞、丹麥、芬蘭、拉脫維亞、立陶宛、盧森堡與德國等15個國家以及歐洲資料保護委員會(European Data Protection Board, EDPB)與歐洲資料保護監督機關(European Data Protection Supervisor, EDPS)的監管策略,其中便有超過半數的主管機關表達對兒童隱私保護的關切,將保護兒童個人資料列為優先監管事項,並發布相關指引與執法計畫。

2021年3月2日時,聯合國兒童權利委員會(Committee on the Rights of the Child)也發布第25號一般性意見—數位環境下的兒童權利(General comment No. 25 (2021) on children’s rights in relation to the digital environment)」強調數位環境下的兒童權利應受到保護與尊重。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

愛爾蘭資料保護委員會針對處理員工疫苗接種資料提出指引

隨著越來越多人進行疫苗接種,愛爾蘭資料保護委員會(Data Protection Commission,DPC)指出,雇主是否可以合法蒐集員工的COVID-19疫苗接種情形的問題已經開始浮現出來。一般來說,愛爾蘭DPC認為在公共衛生主管機關尚未明確建議雇主與工作場所管理人員確定員工的疫苗接種情況下,進行疫苗資料相關的處理可能會有缺乏明確法律依據與過度蒐集資料的問題。

在沒有相關資料蒐集建議的情形下,雇主應該如何瞭解員工疫苗接種情形?愛爾蘭DPC表示可以由以下面向來討論:

就業環境

根據現行版本的安全工作協議(Work Safely Protocol: COVID-19 National Protocol for Employers and Workers),建議在特定的情形下應將疫苗接種作為工作場所的健康與安全措施,同時在提供第一線醫療保健服務的情境,根據相關具體指導,疫苗接種可以被視為必要的安全措施,在這些情形時,雇主很有可能可以根據實際需要處理疫苗接種資料。

資料最小化

根據安全工作協議,無論疫苗接種情形,相關公共衛生感染預防與控制措施(例如保持社交距離、手部衛生、口罩與適當的通風)、以及在家工作等相關措施仍應維持。因此,基於資料最小化的原則,雇主應優先實施避免蒐集員工個人資料的措施。

疫苗接種的自願性

有關個人疫苗的接種狀態的資訊在歐盟一般資料保護規則(GDPR)下的敏感性個人資料,受到法律特殊的保障。而依照現行的安全工作協議,COVID-19疫苗接種是採自願的方式。同時也因為國家疫苗規劃的關係,個人並無法控制其何時能夠接種疫苗,甚至因為疫苗的年齡限制,年輕人在短期內也無法接種疫苗,代表疫苗的接種一般不應視為必要的工作場所安全措施。

另外疫苗在免疫力的長期功效尚不清楚等因素,所以在就業環境中處理疫苗接種資料應不認為會符合必要性。而在工作環境中,個人資料的處理發生在員工(資料主體)與雇主之間,兩者的關係存在不平衡的情況,因此也不應以員工同意的方式處理疫苗接種資料,這種情況下,難以符合自由給予的同意要件。

醫務官員(Medical Officer of Health)

依相關法律規定,醫務官員在履行公共衛生職責的過程中,可能會需要瞭解員工的疫苗接種情形,在這樣的情形下,則可能會構成法律特別允許的情形。

員工旅遊情形

雇主或許會想知悉、處理員工的旅遊資料或疫苗接種資料,來知道員工是否處於自我隔離期間,但在這種情形,可以要求員工說明其可以重返工作的時間,來避免蒐集相關個人資料。

結論

我國隨著疫苗的施打與降級解封,日前也聽到有公司以系統跳出的方式訊息強制要求員工每日回覆施打疫苗的情形。與前述歐盟的情形相同,疫苗接種資料因為其敏感性,在我國同樣屬於特種個人資料,企業倘須蒐集、處理或利用這些疫苗接種資料,則必須遵循個人資料保護法第6條特種個資的相關規定。而在中央流行疫情指揮中心尚未有相關指示前,企業可以盡量避免蒐集此類特種個資,降低個資保存的風險,優先採取其他經公告的防疫措施。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

挪威資料保護主管機關預計向美國公司Disqus裁罰250萬歐元

2021年5月2日,挪威資料保護主管機關Datatilsynet公布由於Disqus對於網站使用者的追蹤未能遵循歐盟一般資料保護規則(General Data Protection Regulation, GDPR),不符合合法性、透明性與問責原則的要求,因此預計對Disqus處以250萬歐元罰款。

Disqus是Zeta Global下的美國公司,該公司提供線上公眾留言分享平臺,Disqus 使用 Disqus小工具對挪威網站的使用者進行追蹤,其相關資料也揭露給第三方的廣告合作夥伴。

Disqus對於挪威資料主體的個人資料進行處理

Disqus認為其透過cookies所蒐集的資料並非GDPR所謂的個人資料,因為其無法從cookies IDs識別個人。

然而主管機關認為,儘管cookie ID無法像姓名或地址一樣能夠單獨識別(identify)自然人,然而每個cookie ID均為獨特且置放於自然人的瀏覽器,使得控制者(controller)能夠區別(distinguish)每個人,並監控該自然人與網路的互動,cookie ID構成GDPR第4(1)條規定所規定的可得識別(identifiable)個人資料。因此,Disqus將cookies置入於網站使用者的終端設備,賦予每一個使用者單一的cookies ID,並藉此追蹤使用者,蒐集IP位址、網站存取時間,進而分析相關資訊,根據網路活動、興趣或其他特徵將使用者分門別類,構成GDPR下個人資料的處理。

Disqus屬於控制者

主管機關認為Disqus基於其自身商業利益對網站使用者進行追蹤、分析與剖析,即其資料蒐集是為了線上行為定向廣告(online behavioural advertising),將資料揭露予Zeta Global與其他第三方,同時Disqus決定了個人資料處理的目的與方式,構成GDPR第4(7)條所謂的控制者。

本案有GDPR的適用

雖然挪威並非歐盟的成員國,但是挪威已將GDPR納入其個人資料法(The Norwegian Personal Data Act),並於2018年7月20日生效。同時GDPR已納入歐洲經濟區協議(EEA Agreement),因此GDPR也適用於歐洲經濟區(EEA)/歐洲自由貿易聯盟(EFTA),包含挪威、列支敦士登與冰島。

主管機關認為,Disqus提供Disqus小工具,讓挪威的網站使用者能夠透過小工具對於網站內容發表留言與評論,該小工具讓挪威的資料主體能夠存取使用,顯示挪威的頂級域名(top-level domain),並以挪威語言提供,因此可以認定Disqus向挪威的資料主體(data subjects)提供服務,而有GDPR第3(2)(a)條的適用。另外,Disqus置入cookie並透過cookies蒐集網站使用者的資料,同樣也構成GDPR第3(2)(b)條所謂監控位於挪威境內的資料主體。

因此,儘管Disqus並非於歐洲經濟區內設立的公司,但因為其行為構成向挪威資料主體提供服務與監控位於挪威境內的資料主體,因此仍有GDPR的適用。

Datatilsynet具有本案管轄權

Disqus表示不論是Disqus或Zeta Global都沒有於挪威進行商業活動,認為挪威資料保護主管機關Datatilsynet並沒有法律管轄權(legal jurisdiction)進行調查或採取相關措施。

主管機關認為,Disqus於歐洲經濟區並未有分支機構(establishment),因此本案沒有GDPR第56(1)條合作機制(cooperation mechanism)的適用。同時依據歐洲資料保護委員會(European Data Protection Board, EDPB)所認可的第29條工作小組(The Article 29 Working Party, WP29)指引,控制者於歐盟沒有任何分支機構時,其必須透過當地代表與各成員國的主管機關交涉,沒有GDPR第56條一站式機制(one-stop-shop system)的適用。因此,Datatilsynet作為挪威資料保護主管機關自然能夠依據GDPR第55(1)條所賦予的權限處理本案。

Disqus違反問責原則

根據GDPR的問責原則(accountability principle),控制者必須予以負責並顯示其確實遵循GDPR的規定。主管機關認為,Disqus作為控制者,其應於公司開始處理挪威資料主體的個人資料之「前」,確保遵循GDPR與確立個人資料處理的法律基礎。由於Disqus並未意識到其GDPR適用於挪威使用者,可見Disqus並未評估個人資料處理活動的合法性,因而違反GDPR的問責原則。

Disqus 未落實對資料主體的告知

根據GDPR第12(1)條規定,Disqus應在開始追蹤資料主體時向資料主體提供資訊,換言之,當資料主體打開網站時,Disqus便應於網站和小工具上提供隱私權政策,Disqus將隱私權政策至於網站的最底部的行為並不符合GDPR第12(1)條提供資訊義務、第13條告知義務與5(1)(a)透明性原則的規定。

Disqus 不具個人資料處理的合法基礎

主管機關認為,Disqus未能確立其個人資料處理的法律基礎,也未能取得資料主體的合法同意,而在GDPR第6(1)(f)條的正當利益(legitimate interes)衡平測試(balance test)檢驗下,儘管Disqus基於行銷與商業營利的目的販售廣告構成該條所謂的正當利益,但Disqus在整體個人資料處理與揭露第三方的商業模式,過於廣泛、不透明且以侵犯的方式追求Disqus自身的線上行為定向廣告利益,甚至未能依法告知資料主體,使資料主體無法控制或終止追蹤,因此不符合必要性。

最後在衡平測試的檢驗,Disqus將未取得同意所蒐集來的資料分享予第三方,這些第三方隨後又可能將該資料揭露予其他第三方,Disqus的商業利益並未優於資料主體的負面影響(包含剖析、資料保護與言論自由等基本人權),因此並無GDPR第6(1)(f)條的正當利益條款的適用。

本案裁罰決定

依照GDPR第83(1)條規定,裁罰應為有效(effective)、適當(proportionate)且具懲罰性(dissuasive)。主管機關基於前揭的論述,認為Disqus違反GDPR第5(2)、6(1)與第13條等規定,考量GDPR第83(2)條所列的各款因素後,依據GDPR第83(5)條,裁罰Disqus共2500萬元挪威克朗(約為250萬歐元),其裁罰金額大約等於Disqus公司2018年營業額的15%,然而這並非最終決定,Disqus公司仍可於2021年5月31日前表示意見,Datatilsynet後續將會考量該公司的回覆作出最終決定。

由於本案 Disqus 公司於歐洲經濟區並未有分支機構,因此後續裁罰將會如何執行值得關注。另外本案也提及GDPR一站式的機制不適用於在歐盟境內沒有分支機構的企業,因此當企業在歐洲經濟區內沒有設立分支機構,而有違反GDPR相關規定,且涉及各國資料主體時,似乎各國的主管機關對此情形均可能有管轄權,倘各國主管機關對此違反情形均為裁罰,對企業將會是一大衝擊。對於我國企業而言,仍然必須檢視業務流程是否會涉及其他國家法令,避免誤觸紅線。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

企業常見資料保護錯誤

英國資訊委員辦公室(Information Commissioner’s Office, ICO)為了幫助個人經營者、中小型企業瞭解資料保護事項,羅列一些常見的資料保護錯誤,並提供相關建議如下。

常見錯誤一、發送電子郵件給錯誤的對象

當你的通訊錄有好幾個相同名字的時候,這是非常容易發生的。當開始在收件者欄位輸入名字時,自動填入工具固然方便,可以加速寄信的過程。但是如果錯誤地將個人資料發送給錯誤的對象,那麼使用自動填入工具節省下來的幾秒鐘就會耗費你更多的時間。

如何解決:

1.盡快收回電子郵件,如果無法收回,聯繫收信者並請他們刪除。同時,在後續寄送電子郵件時,考慮關閉自動填入工具。

2.如果符合個資外洩的情形,則應依循相關法律規定,在資料外洩後72小時候儘速處理。

常見錯誤二、服務資訊與行銷資訊的混用

服務資訊(Service messages)與行銷資訊(marketing messages)兩者並不相同,服務資訊旨在透過提供重要的事實資訊讓人們瞭解情形,例如關於產品安全的警示。另一方面,行銷資訊則旨在推廣服務、企業或組織。

如何解決:

在蒐集與利用個人資料前,確保瞭解行銷的相關規定,無論是產品、服務或是想法,同時還需要注意不要將服務資訊與行銷資訊混為一談,即使在行銷郵件的末段添加一句服務資訊,仍然也需要遵守行銷的相關規定。

常見錯誤三、打開不熟悉的網頁連結或附件

你可能偶爾會收到陌生人的電子郵件,或者收到看起來可疑的連結或附件。有時候這些可能是釣魚郵件或其他類型的網路犯罪,而可能導致電腦系統的損壞。

如何解決:

1.為所有工作設備設置合適的防火牆

2.合於用途的儲存系統

3.訓練人員知道如何在點擊連結或打開附件前識別可疑的電子郵件

常見錯誤四、保留不需要的資料

你擁有的個人資料越多,就需要更多的儲存空間與安全措施來確保資料的安全,意味著需要花費更多的時間與金錢。例如當處理一個當事人行使權利的請求時,你可能需要搜尋成千上萬的舊文件,這將花費許多時間。另外,根據資料保護法的規定,個人資料的保存時間不應超過你所需要的時間。

如何解決:

如果你被要求保留一定時間的資訊,例如財務、醫療或法律紀錄,在保存政策中記錄理由。並且應該定期整理所擁有的資料,並且在不再需要資料時安全地銷毀個人資料。

常見錯誤五、忽略個人權利行使

在資料保護法中,人們對自己的個人資料能夠行使當事人權利,例如他們可以請求提供你所持有關於他的任何個人資料。

當事人權利行使可以透過書面或口頭的方式提出,人們不需要直接聯繫到組織的特定聯絡人或者使用特定的語言、形式。組織不能要求人們以書面行使當事人權利,或者要求他們使用特定表格。

如果你收到當事人以口頭的方式行使其權利,如果他願意的話,可以邀請他以書面形式提出,或是人們於電話中提出請求時,將其請求以書面記錄下來,有一個書面紀錄對雙方都是有益的。但無論是否有書面紀錄,人們的口頭請求仍然有效,例如員工在會議上要求公司提供他們的個人資料,這將被視為當事人權利行使的一種。

如何解決:

確保組織與員工瞭解如何識別當事人權利行使,以及如果收到相關請求應該怎麼辦。簡單來說,如果有人要求組織提供他們的個人資料,你需要在法定的期限內提供他們個人資料的複製本。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.從抖音案看中國大陸個人資料保護的發展
2.靠攏GDPR,日本通過新修正個人情報保護法
3.中國大陸個人信息保護法草案全文發布
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

CNIL對遭受憑證填充攻擊的資料控制者與資料處理者處以225,000歐元罰款

法國資料保護主管機關CNIL(Commission Nationale de l’Informatique et des Libertés, CNIL)於2021年1月27日分別對某資料控制者(Data Controller)及其資料處理者(Data Processor)2間公司分別處以150,000歐元與75,000歐元(共225,000歐元,約新臺幣756萬元)的罰款,理由是因為其未能採取充分的適當安全措施,導致資料控制者所經營網站的客戶個人資料遭受憑證填充攻擊(credential stuffing attacks),以致於資料外洩。

在2018年6月至2020年1月期間,CNIL收到數十份與網站相關的個人資料外洩通報,CNIL指出該網站遭受到無數次的憑證填充攻擊。

憑證填充攻擊,攻擊者通常使用因為資料洩漏而遭公布在網路上的帳號密碼,並藉由機器人以自動化方式嘗試登入網路服務。假設使用者經常在不同的網路服務中使用相同的帳號與密碼,則攻擊者使用憑證填充攻擊,嘗試與網路服務進行大量連接,身份驗證成功後,攻擊者將可以查看與帳戶相關的資訊。

CNIL表示,攻擊者因此取得該網站會員姓名、電子郵件地址、出生日期、會員卡的餘額以及與訂單相關的資訊。CNIL認為該兩間公司未能履行歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第32條規定的保護客戶個人資料安全義務。

儘管公司開發一種工具用偵測與組織來自機器人的攻擊,但是該工具的開發距離第一次攻擊長達1年的時間。CNIL認為,公司在防止攻擊與減輕衝擊部分,本來可以考慮採取其他更適當的措施,例如:(1)限制網站上每個IP地址允許的存取數量,可以有助於減緩攻擊發生的速度;(2)使用驗證使用者身份機制。 CNIL強調,資料控制者必須決定安全措施的實施,並向資料處理者說明,同時資料處理者也必須尋求最適切的解決方案,將其提供給資料控制者,以確保個人資料保護的落實。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

愛爾蘭資料保護委員會(Ireland’s Data Protection Commission)於2020年12月制定針對兒童資料處理方法的基礎概念(Fundamentals for a Child-Oriented Approach to Data Processing)」草案文件,其中納入專門針對兒童的資料保護解釋原則與建議措施,這些原則與措施將提供對於兒童的保護水準,使兒童免於資料處理風險所帶來的影響,該份草案文件的公開諮詢程序至2021年3月31日止,任何人都可以向愛爾蘭資料保護委員會提供相關意見與評論。

值得注意的是,愛爾蘭資料保護委員會也直接向兒童諮詢相關意見,兒童們紛紛提出他們對於資料保護的各種看法,愛爾蘭資料保護委員會也特別於該份文件內呈現出來。

在愛爾蘭,兒童的定義是指未滿18歲的人,與聯合國兒童權利公約(UN Convention on the Rights of the Child, UNCRC)的定義相同,而愛爾蘭資料保護委員會確立組織應遵循的14個基本原則,組織在處理個人資料時應注意對於兒童的保護,為兒童們提供一個比目前更安全、更合適以及更尊重隱私的網路環境,讓孩子們盡情得玩耍、互動、學習與創造。以下是該文件所列出的14個基本原則:

1.一定程度的保護(FLOOR OF PROTECTION)

線上服務提供者(Online service providers)應對所有使用者提供一定程度的保護,除非其採取風險導向的方法(risk-based approach)來驗證使用者的年齡,以將基本原則中所規定的保護措施應用於所有處理兒童資料的行為。

2.明確同意(CLEAR-CUT CONSENT)

當兒童同意處理其資料時,必須是明確、知情且自由得陳述,或給予明確同意。

3.零干擾(ZERO INTERFERENCE)

線上服務提供者處理兒童資料時,應確保追求合法利益的同時,不會對兒童的最佳利益造成干擾、衝突或負面影響。

4.瞭解受眾(KNOW YOUR AUDIENCE)

線上服務提供者應採取措施來識別其使用者,並確保針對兒童或可能被兒童所接觸的服務已制定針對兒童的資料保護措施。

5.每個情景的資訊(INFORMATION IN EVERY INSTANCE)

兒童有權獲得有關處理其自身個人資料的資訊,即便是由父母所代理同意處理的個人資料。

6.針對兒童的透明性(CHILD-ORIENTED TRANSPARENCY)

必須以簡潔、透明、可理解與可接觸的方式提供有關如何使用個人資料的隱私資訊,並應使用兒童易於理解且適合兒童年齡的語言。

7.讓兒童自主行使權利(LET CHILDREN HAVE THEIR SAY)

兒童本身即是資料主體,在任何年齡都擁有與其個人資料有關的權利。愛爾蘭資料保護委員會認為,只有兒童有能力,且符合他們的最佳利益,兒童可以隨時行使這些權利。

8.同意不會改變兒童的本質(CONSENT DOESN’T CHANGE CHILDHOOD)

從兒童或父母/監護人所取得的同意不應作為將所有年齡的兒童當作成年人對待的理由。

9.平台責任(YOUR PLATFORM, YOUR RESPONSIBILITY)

透過數位與線上技術提供或出售服務而獲得收入的公司,對於兒童的權利和自由可能會構成特殊的風險,如果此類公司使用年齡驗證或依靠父母同意進行資料處理,則愛爾蘭資料保護委員會期望公司在關於年齡驗證以及父母同意的驗證方面能夠更加努力。

10.不要拒絕兒童使用者或剝奪其使用體驗(DON’T SHUT OUT CHILD USERS OR DOWNGRADE THEIR EXPERIENCE)

如果公司所提供是提供針對兒童或可能被兒童所接觸的服務,公司不能透過將兒童拒於門外或剝奪使用體驗來繞過公司所應負擔的義務。

11.最小使用者年齡並非藉口(MINIMUM USER AGES AREN’T AN EXCUSE)

設置提供服務的使用者最小年齡不會取代組織遵守歐盟一般資料保護規則(General Data Protection Regulation, GDPR)的資料控制者與對未成年人保護等相關義務。

12.禁止剖繪(PROHIBITION ON PROFILING)

考量兒童的特殊脆弱性(particular vulnerability)與對行為廣告的敏感性(susceptibility to behavioural advertising),因此線上服務提供者不得基於行銷/廣告的目的對於兒童進行剖繪(profile)或針對兒童使用自動化決策(automated decision making),或以其他方式利用其個人資料,除非能夠清楚得說明「如何」以及「為什麼」這樣做符合兒童的最佳利益。

13.實施資料衝擊影響評估(DO A DPIA)

線上服務提供者應進行資料保護衝擊影響評估(Data Protection Impact Assessments, DPIA),以最大程度得降低其服務的資料保護風險,尤其是因為處理個人資料所對於兒童造成的特定風險。兒童的最佳利益原則必須是資料衝擊影響評估的關鍵標準,並且當兩者利益間發生衝突時,兒童的最佳利益必須優於組織的商業利益。

14.融入制度(BAKE IT IN)

定期處理兒童個人資料的線上服務提供者應根據「從設計與預設階段著手資料保護」原則,使其具有一貫的高標準資料保護程度,並將其融入於服務之中。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.投資個資保護的價值?

如何落實GDPR法遵?英國ICO發布問責制框架

英國個資保護主管機關ICO(Information Commissioner’s Office)近日發布組織問責制框架(Accountability Framework),旨在協助組織管理其隱私保護。問責制框架目前仍處於測試階段,未來將會隨著與利害關係人溝通後逐漸完善。該問責制框架從領導與監督、政策與程序以及培訓與意識等十個面向,提供組織與企業路線圖,藉此瞭解每個面向應該要做什麼以及如何改進,以落實歐盟一般資料保護規則(GDPR)法令遵循。

另外組織也能透過ICO所提供的問責制自我評估工具追蹤器來衡量與追蹤組織內部法令遵循的程度及情形。

一、領導與監督(Leadership and oversight)

組織架構(Organisational structure)

  • 董事會或最高管理階層負責整體資料保護(data protection)與資訊管理(information governance)。
  • 決策者以身作則,並倡導主動積極的資料保護法遵文化。
  • 具備良好的溝通與資訊交換管道,例如管理團隊與稽核團隊間或執行團隊與資訊管理指導團隊間。
  • 政策明確規定負責資料保護與資訊管理的組織架構。
  • 職責說明(Job descriptions)清楚表示相關責任與報告管道。
  • 職責說明是最新、合於目的且定期進行審查。
  • 資料保護與資訊管理人員瞭解組織架構與其職責。

是否任命DPO(Whether to appoint a DPO)

  • 資料保護長(Data Protection Officer, DPO)依據歐盟一般資料保護規則(General Data. Protection Regulation, GDPR)第39條承擔特定責任,包含資料保護法令遵循、資料保護政策、提升意識、教育訓練與稽核。
  • DPO對資料保護的法律與落實具有專業知識。
  • DPO擁有有效完成其工作權限、支援與資源。
  • 如果組織沒有任命DPO的需要,則應紀錄該決定。
  • 如果組織沒有任命DPO的需要,則要適當指派負責資料保護法遵的人,且要有足夠的人員與資源來負責資料保護法規定的義務。

適當的報告(Appropriate reporting)

  • 員工知道DPO及其職責,以及如何與DPO聯繫。
  • 所有資料保護問題都適時(timely)讓DPO參與。
  • DPO獨立執行任務,不應有任何利益衝突,並且不對組織內個人資料處理的方式與目的作出任何直接的執行決策。
  • DPO直接向高階決策者提供建議,並向最高管理階層表達其看法。
  • DPO定期向高階管理人員提供有關資料保護法令遵循的資訊。

運作角色(Operational roles)

  • 資料保護與資訊管理人員有明確的職責,確保組織符合資料保護法的要求。
  • 員工可以有效管理所有紀錄,並確保資訊安全。
  • 網路管理人員或資料保護負責人可以其部門實施與維護資料保護策略。
  • 資料保護與資訊管理人員擁有有效執行職責的權限、支援與資源。

監督小組(Oversight groups)

  • 關鍵長官(例如DPO)定期參與監督小組會議。
  • 由適當的高階員工擔任小組主席,例如DPO或資深資訊風險所有者(senior information risk owner , SIRO)。
  • 明確規範該小組的目標。
  • 該小組會議記錄紀錄所發生的情形。
  • 該小組討論涵蓋所有與資料保護相關的主題,包含關鍵績效指標(KPI)、問題與風險。
  • 該小組的工作或行動計畫受到定期監督。
  • 董事會或最高管理階層會考量監督小組所報告的資料保護與資訊管理問題與風險。

業務小組會議(Operational group meetings)

  • 小組定期開會並有相關人員參加。
  • 小組製作會議記錄與行動計畫。
  • 議程顯示小組討論適當的資料保護與資訊管理問題。
  • 出現的任何資料保護與資訊管理問題與風險均向監督小組報告。

二、政策與程序(Policies and procedures)

指導與支持(Direction and support)

  • 政策依據最高管理階層認可的資料保護與資訊管理的策略業務計畫所制定。
  • 政策包含資料保護、紀錄管理與資訊安全等面向。
  • 根據資料保護策略制定執行程序、指引與手冊,並提供予執行人員。
  • 政策與程序清楚得概述角色和職責

審查與核准(Review and approval)

  • 所有政策與程序均依循內部規範的格式與樣式。
  • 適當的高階管理人員負責審查並核准新的與現有的政策與程序。
  • 現有的政策與程序依據所記錄的審查日期進行審查,並且是最新且合於目的。
  • 當政策與程序需要修改時(例如因為業務變更、判決見解或法規變更),其政策與程序的修改沒有不當延遲。
  • 所有政策、程序和指引均顯示文件管理資訊(document control information),包含版本號、所有者、審閱日期與修改歷史紀錄。

員工意識(Staff awareness)

  • 員工閱讀並瞭解政策與程序,包含瞭解實施與遵守的重要性。
  • 使員工瞭解更新的政策與程序。
  • 將政策於程序以組織的網站、網路共享或其他方式,使員工能夠閱讀。
  • 透過指引、海報或出版物,有助於強調關鍵資訊並提高員工對於政策與程序的意識。

從設計與預設著手資料保護(Data protection by design and by default)

  • 組織整體的政策與程序,在有關的情形下同時考量資料保護。
  • 透過政策與程序確保涉及個人資料的系統、服務、產品與業務,其設計與實施考量資料保護議題,並於預設階段即落實個人資料保護。
  • 組織於政策與程序載明實施資料保護原則與維護當事人權利的方法,例如資料最小化、假名化(pseudonymisation)與目的限制等事項。
  • 政策與程序就弱勢群體(例如兒童)的個人資料提供額外的保護

三、培訓與意識(Training and awareness)

全員培訓計畫(All-staff training programme)

  • 教育訓練計畫結合國家與特定產業別的要求。
  • 計畫具有全面性,包含對所有員工的資料保護關鍵領域的教育訓練,例如處理當事人請求、資料共享、資訊安全、個人資料外洩與紀錄管理。
  • 考慮所有員工的教育訓練需求,並依此制定教育訓練計畫。
  • 在組織中分配負責資料保護與資訊管理教育訓練的職責,並且已制定教育訓練計畫或策略,以在定好的時限內完成教育訓練。
  • 組織擁有專門且經受訓的資源可以為所有員工提供教育訓練。
  • 定期檢視計畫確保維持最新且準確的狀態。
  • 由高階管理人員簽署計畫。

到職與進修培訓(Induction and refresher training)

  • 由適當的人員(例如DPO或資訊管理經理)負責監督或核准到職教育訓練。
  • 員工應接受到職與在職教育訓練,無論員工為組織工作的期限長短、契約性質或職等。
  • 員工在存取個人資料之前與之後1個月內,接受到職教育訓練。
  • 員工在適當時間間隔完成在職教育訓練。

專業角色(Specialised roles)

  • 針對資訊管理與資料保護人員的教育訓練需求進行分析,並通知教育訓練計畫,確保計畫符合該人員的職責。
  • 具有證據可以確認該關鍵人員完成最新且適當的專業訓練與發展,並接受適當得在職訓練。
  • 保存所提供教育訓練教材副本與接受教育訓練人員的詳細資訊。

監督(Monitoring)

  • 在教育訓練結束時進行評估,以測試員工的理解並確保其有效性,其中可能包含設定最低合格分數。
  • 保留教育訓練教材副本與接受訓練人員資訊的紀錄
  • 依據組織要求,監督各級員工的教育訓練完成狀況,並對未完成訓練的員工進行追蹤。
  • 員工能夠就所接受的教育訓練提供回饋。

提高意識(Awareness raising)

  • 有證據佐證組織定期使用各種適當方法來提高員工的意識與對資料保護及資訊管理的認識,例如電子郵件、團隊簡報、會議、海報、講義和部落格。
  • 當員工對於資料保護與資訊管理有任何疑問時,讓員工能輕易接觸相關資料,以及能夠與誰聯繫。

四、當事人權利(Individuals’ rights)

通知個人並確定請求(Informing individuals and identifying requests)

  • 向當事人提供有關其權利以及如何行使其權利的明確且相關的資訊。
  • 政策與程序規範處理當事人請求行使權利的流程。
  • 所有員工都接受有關如何識別請求以及將請求提交到何處的教育訓練與指導。

資源(Resources)

  • 由一個特定的人或團隊負責管理與回應請求。
  • 工作人員接受專門的訓練來應對請求,包含定期的教育訓練。
  • 有足夠的資源來處理請求。
  • 如果某員工缺席或請假,組織有訓練其他人員執行關鍵任務。
  • 組織可以處理任何請求增加或員工減少的問題。

紀錄與追蹤請求(Logging and tracking requests)

  • 組織具有適當的流程確保請求紀錄日誌準確無誤並適當更新。
  • 請求紀錄日誌顯示請求的到期日期、最後回應的實際日期與所採取的措施。
  • 日誌記錄請求處理過程中的關鍵階段,例如已搜尋哪些系統或部門。
  • 備有組織對請求的回應紀錄,以及任何當事人請求近用時,組織所揭露或拒絕提供的資訊。

適時回應(Timely responses)

  • 組織能夠在法定期限內處理所有當事人請求。
  • 負責處理請求的員工定期開會討論問題,對任何延遲的案件進行調查,並優先處理。
  • 如果需要延展期限,向當事人更新其請求的進度,並適時通知。
  • 如果當事人請求被拒絕,組織會記錄相關原因,並告知當事人拒絕或不適用的原因。

監督與評估績效(Monitoring and evaluating performance)

  • 負責處理請求的人員定期開會討論。
  • 組織定期編寫關於績效與案件質量評估的報告,確保請求得到適當處理(case quality assessments)
  • 向最高管理階層報告,讓其審查並採取行動。
  • 組織分析請求的性質或原因的趨勢,以提高績效或減少數量。

資料不正確或不完整(Inaccurate or incomplete information)

  • 組織採取適當合理的流程,檢查所保有個人資料的正確性,並在必要時能夠予以更正。
  • 組織如果認為資料符合正確性的要求,組織具有向當事人解釋的程序,組織必須通知當事人申訴的權利,並在系統中記錄當事人對於正確性提出異議的事實。
  • 如果當事人個人資料已揭露予其他人,除有不可能通知的情形或需花費顯不相當的努力,組織會聯繫每一個接收者,向其通知相關更正資訊。
  • 組織在被當事人詢問時,會告知有哪些第三方收到當事人的個人資料。

刪除(Erasure)

  • 組織在必要時於工作系統(live systems)與備份系統(back-up systems)中刪除個人資料,並能清楚告知當事人其個人資料後續的處置情況。
  • 如果當事人個人資料已揭露予其他人,除有不可能通知的情形或需花費顯不相當的努力,組織會聯繫每一個接收者,向其通知相關刪除資訊。
  • 組織在被當事人詢問時,會告知有哪些第三方收到當事人的個人資料。
  • 如果個人資料於線上環境公開時,組織採取合理流程告知其他控制者,如果他們正在處理個人資料,應刪除該資料的連結、副本或複製本。
  • 組織對於基於兒童同意的個人資料處理,尤其是在網路處理個人資料時,組織對於請求刪除特別重視。

限制(Restriction)

  • 組織以適合處理類型與系統的方式限制個人資料的處理,例如暫時將個人資料移到另一個系統或從網站上刪除。
  • 如果當事人個人資料已揭露予其他人,除有不可能通知的情形或需花費顯不相當的努力,組織會聯繫每一個接收者,向其通知限制相關的資訊。
  • 組織在被當事人詢問時,會告知有哪些第三方收到當事人的個人資料。

資料可攜(Data portability)

  • 依照法律要求,組織以結構化,通用且機器可讀的格式提供個人資料。
  • 當事人要求時,組織在能力所及的情形下可以直接將資料傳輸給另一個組織。

與自動決策和剖繪相關權利(Rights related to automated decision-making and profiling)

  • 於所有的自動化決策與剖繪時,針對弱勢群體進行額外的確認。
  • 組織僅蒐集最小限度的個人資料,並對剖繪所建立的資料有明確保存政策。
  • 組織使用全自動化決策與剖繪,且對個人有法律影響或類似重大影響時,組織具有記錄可以證明均符合依據GDPR第22條進行。如有適用,組織應進行資料保護衝擊評估(data protection impact assessment, DPIA)。
  • 組織使用全自動化決策與剖繪,且對個人有法律影響或類似重大影響時,允許個人以簡易的方式請求人為介入、表達意見與質疑決策。
  • 組織定期檢視準確性與偏差,確保系統依照預期運作,並回饋於系統設計工作中。

個人投訴(Individual complaints)

  • 組織具有處理個人資料提出資料保護投訴的程序,並將其解決方案向高階管理人員報告。
  • 公開DPO聯繫方式或其他聯絡方法,讓當事人能夠就資料處理向DPO提出投訴。
  • 組織在隱私訊息向當事人告知他們有權向主管機關(在英國即為ICO)投訴。

五、透明性(Transparency)

隱私權聲明內容(Privacy notice content)

  • 隱私權資訊包含所有相關的聯繫資訊,例如組織以及組織代表(如果有適用)的名稱與聯繫資訊,以及DPO的聯繫資訊。
  • 隱私資訊包含處理的目的、合法依據與處理合法利益(如果有適用)。
  • 隱私資訊包含組織取得個人資料的類別與來源。
  • 隱私資訊包含組織與其他組織共享的所有個人資料詳細資訊,以及向任何第三方國或國際組織傳輸的詳細資訊(如果有適用)。
  • 隱私資訊包含個人資料的保存期限,在無法明確載明保存期限的情形時,則應包含確定保存期間的標準。
  • 隱私資訊包含有關當事人權利的細節,包含撤回同意的權利(如有適用)與提出投訴的權利。
  • 隱私資訊包含當事人是否有法律規定或契約義務提供個人資料的詳細資訊(如有適用,且組織直接蒐集其個人資料)。
  • 當間接蒐集當事人個人資料時,向當事人提供有關資料來源的隱私資訊,例如該資料來自於社群媒體、公開的選民登記冊或政府機關。

適時的隱私資訊(Timely privacy information)

  • 當蒐集(例如填寫表格時)或觀察(例如使用CCTV或線上追蹤時)個人資料時時,當事人能收到隱私資訊。
  • 如果間接蒐集個人資料時,組織應於取得資料後一個月內向當事人提供隱私資訊。

有效的隱私資訊(Effective privacy information)

  • 組織主動讓當事人以免費且簡易的方式取得並瞭解隱私資訊。
  • 組織以電子或實體的形式向當事人提供隱私資訊,並且使用適當的組合技巧,例如分層顯示、圖示與行動與智慧設備功能。
  • 組織使用清楚易懂的語言撰寫隱私資訊,讓目標受眾能夠理解,並且在必要時以無障礙方式提供。
  • 組織特別注意並確保對於兒童提供清楚且易懂的隱私資訊,確保隱私資訊適合兒童年齡,並解釋處理過程中所涉及的風險與組織所採取的保護措施。

自動化決策與剖繪(Automated decision-making and profiling)

  • 組織使用剖繪時,提供當事人近用其用於剖繪的個資,使當事人能夠檢視其正確性並在必要時予以更正。
  • 組織使用全自動化決策與剖繪,且對個人有法律影響或類似重大影響時,組織會告訴當事人相關處理情況,包含組織正在使用什麼資訊、原因以及可能產生的影響。
  • 如果處理目的一開始尚不明確,組織應向當事人說明組織將如何處理他們的資料,並在目的變的更為明確時主動更新隱私資訊。
  • 組織使用全自動化決策與剖繪,且對個人有法律影響或類似重大影響時,組織應以有意義的方式解釋處理方式,使當事人能夠行使其權利,包含獲得人工干預、表達意見與對決策提出異議。

員工意識(Staff awareness)

  • 安排組織整體員工接受隱私資訊的教育訓練。
  • 第一線員工接受更專業或更具體的教育訓練。
  • 員工瞭解組織提供隱私資訊的方式。

隱私資訊檢視(Privacy information review)

  • 組織根據處理活動的紀錄檢視隱私資訊,以確保其保持最新,並準確得解釋個人資料的情況。
  • 組織保存隱私資訊歷史文件的日誌,包含組織作出任何更改的日期,以便審查組織在何時向當事人提供哪些隱私資訊。
  • 組織進行使用者測試,以評估隱私資訊的有效性。
  • 組織會分析民眾對組織的投訴(關於組織如何使用個人資料,特別是如何利用個人資料的說明)。
  • 如果組織計畫將個人資料利用於新目的,組織備有程序更新隱私資訊,並在開始任何處理之前,向個人通知這些變化。

支持透明性與控制的工具(Tools supporting transparency and control)

  • 清楚的隱私政策且民眾可以輕易接觸。
  • 組織為個人提供工具,例如安全的自助服務系統、儀表板與及時通知,使當事人能夠近用、確定與管理組織如何使用其個人資料。
  • 組織提供優良的隱私預設與使用者友好的選項與控制。
  • 在相關的情形下,組織的程序可以幫助兒童以他們理解、易於近用的方式行使他們資料保護權利。
  • 組織實施適當的保護措施保護使用數位服務的兒童。

六、處理紀錄與合法依據(Records of processing and lawful basis)

資料盤點(Data mapping)

  • 組織進行個資盤點,查明組織保有哪些個人資料,並瞭解資料如何在組織內部流動。
  • 不斷更新個資盤點表,並明確分配維護與修改個資盤點表的責任。
  • 詢問員工意見,確保處理活動情形準確性,例如使用問卷或員工調查。

處理活動紀錄(Record of processing activities, ROPA)

  • 組織以電子形式記錄處理活動,以利便於增加、刪除或修改相關資訊。
  • 組織根據處理活動、政策與程序定期審查紀錄,確保其保持正確與最新,並明確分配責任。
  • 組織定期審查處理活動與處理的資料類型,以達到資料最小化的目的。

ROPA要求(ROPA requirements)

  • ROPA至少要包含以下內容
    1. 組織的名稱與聯繫方式、是控制者還是處理者(如有適用,還包含共同控制者、組織代表與DPO)
    2. 處理的目的
    3. 對個人與個人資料類別的描述
    4. 個人資料接收者的類別
    5. 向第三國傳輸的詳細資訊,包含傳輸的安全機制與措施的紀錄。
  • 組織備有處理者代表組織進行的所有處理活動的任何內部紀錄。

ROPA最佳實務(Good practice for ROPAs)

  • ROPA還包含或連結到以下內容的文件:
    1. 隱私聲明所需的資訊,例如處理個人資料的合法依據與來源
    2. 同意紀錄
    3. 控制者與處理者間的契約
    4. DPIA報告
    5. 個人資料外洩紀錄
    6. 依據個資法處理特種資料或犯罪資料的資訊
    7. 保留與刪除的政策文件

紀錄合法依據(Documenting your lawful basis)

  • 組織檢視處理目的後,為每個處理活動選擇最適當的法律基礎。
  • 組織紀錄所適用的法律基礎(一個或多個)與原因。
  • 如果組織處理特種資料或刑事犯罪資料,組織應紀錄GDPR第9條與第10條,以及英國資料保護法(DPA 2018)的附表1所載相關要求。
  • 針對附表1所記載要求,組織備有適當政策文件,包含:
    1. 所依據的附表1條件
    2. 組織已經採取哪些程序來確保遵守資料保護原則
    3. 組織如何保存與刪除特種資料或刑事犯罪資料
    4. 審查日期
    5. 負責處理人員的詳情
    6. 組織在開始任何新處理之前確定法律基礎

合法依據透明化(Lawful basis transparency)

  • 組織的隱私聲明中公開關於處理的目的、組織處理任何特種個資與刑事犯罪資料的法律基礎與相關要件的資訊。
  • 組織以易於理解的方式提供資訊。
  • 如果情事變更或因原先無法預期的新處理目的而變更法律基礎,組織應及時通知當事人,並紀錄這些變更。

同意要求(Consent requirements)

  • 同意的請求:
    1. 與其他條款與條件分別放置
    2. 要求積極同意,並且不要使用預選框
    3. 明確且具體(不是簽署服務的前提要件)
    4. 告知當事人如何以簡單的方式撤回同意
    5. 提供組織的名稱以及任何依據同意作為法律基礎的第三方
  • 組織備有當事人同意的詳細紀錄,包含當事人被告知的內容,以及當事人同意的時間與方式,並且便於相關員工存取、檢視與在需要時提取。
  • 組織備有說明如何徵得當事人同意的證據與示例,例如線上表格或通知、選擇同意的勾選框或紙本表格。

審查同意(Reviewing consent)

  • 組織具有審查同意的程序、檢查其關連性、處理與目的是否已經更改並記錄任何更改。
  • 組織具有在適當時間間隔更新同意的程序。
  • 組織使用隱私儀表板或其他偏好管理工具來幫助當事人管理其同意。

風險導向的年齡檢查與父母或監護人的同意(Risk-based age checks and parental or guardian consent)

  • 組織透過作出合理的努力,檢查給予同意之人的年齡,特別是在當事人為兒童的情形。
  • 組織具有合理有效的程序確定當事人是否可以提供同意,在當事人無法提供同意時,則應取得並記錄父母或監護人同意的有效方法。
  • 為兒童提供線上服務時,組織會使用風險導向的年齡檢查系統(risk-based age checking systems)來確定年齡,並根據對兒童權利和自由的風險來確定適當的級別。
  • 為兒童提供線上服務時,如果未滿13歲,則需要定期審查父母或監護人同意的紀錄,並且組織透過合理的努力來驗證同意人是否具有親權。當兒童年滿13歲且能夠取得他們同意時,組織應特別予以注意。

合法權益評估(Legitimate interest assessment, LIA)

  • LIA確定合法利益、處理的好處以及是否有必要。
  • LIA包含平衡測試,以顯示組織如何確定其合法利益高於當事人利益,並考慮以下問題:
    1. 除有充分理由,否則請勿以侵害性方式或可能造成傷害的方式處理個人資料
    2. 保護弱勢群體(如學習障礙者或兒童)的利益
    3. 是否實施保護措施以減少任何潛在的負面影響
    4. 是否可以選擇退出(opt-out)
    5. 是否需要DPIA
  • 組織清楚記錄決策與評估。
  • 組織在處理個人資料之前完成LIA
  • 組織保持對LIA進行審查,如因變化影響到結果,應加以更新。

七、契約與資料共享(Contracts and data sharing)

資料共享政策與程序(Data sharing policies and procedures)

  • 組織具有透過DPIA或類似的工作流程評估資料共享的合法性、利益與風險。
  • 組織將所有共享決策紀錄在案,以利稽核、監督與調查,並定期檢視。
  • 組織對資料共享有明確的政策、程序與指引,包含誰有權決定系統性的資料共享或一次性揭露,以及在何種情形適合這樣做。
  • 組織對所有可能作出資料共享決定的員工進行充分訓練,讓他們瞭解自己的責任。同時,組織會根據情況定期更新訓練內容。

資料共享協議(Data sharing agreements)

  • 組織與所有相關組織簽訂資料共享協議,並應由高階管理人員簽署確認。
  • 資料共享協議包含以下細節:
    1. 各方的角色
    2. 資料共享的目的
    3. 資料在每個階段會如何處理
    4. 所設定的標準(兒童的隱私預設標準應較高)
  • 必要時,組織整體日常運作的程序與指引將為協議提供支援。
  • 如果組織依據GDPR第26條作為共同控制者,組織根據約定或資料共享協議約定責任分配,並向當事人提供適當隱私資訊。
  • 組織具有定期檢視程序,確保資訊保持準確與最新,並檢視協議如何運作。
  • 組織保存當前資料共享協議的主要紀錄(central log)。

限制轉讓(Restricted transfers)

  • 組織考慮限制性傳輸是基於適足性認定(adequacy decision)或資料保護法中所列出的適當安全措施的範圍,例如包含委員會通過的標準契約資料保護條款的契約(standard contractual data protection clauses)或拘束性企業規則(Binding Corporate Rules, BCRs)。
  • 如果不符合前述範圍,則組織應考量該傳輸是否在GDPR第49條規定的豁免範圍內。

處理者(Processors)

  • 組織與所有處理者簽訂書面契約。
  • 如果使用處理者,組織應評估資料主體的風險,並確保有效降低這些風險。
  • 由適當級別的管理階層核准並簽署契約,核准與簽署所需要的管理階層應與契約的價值與風險成正比。
  • 每份契約(或法律行為)都規定處理的詳細資訊,包含:
    1. 處理的主要內容
    2. 處理的期限
    3. 處理的性質與目的
    4. 所涉及的個人資料類別
    5. 資料當事人類別
    6. 根據GDPR第28(3)條所列的清單、控制者的義務與權利
  • 組織保存所有當下處理者契約的紀錄或日誌,並在處理者變更時予以更新。
  • 組織定期檢視契約,以確保其維持最新狀態。
  • 如果處理者使用子處理者(sub-processor)來協助組織進行處理,處理者必須取得組織的書面授權,並與該子處理者簽訂書面契約。

控制者與處理者間契約要求(Controller-processor contract requirements)

  • 契約或其他法律行為說明處理者必須(包含以下事項):
    1. 僅根據控制者的書面指示進行處理,除非有法律規定
    2. 確保處理資料的人員負有保密義務
    3. 協助控制者回應當事人權利行使的請求
    4. 接受稽核與檢查
  • 契約內包含處理者必須採取的技術上與組織上安全措施(包含加密、假名化、處理系統的韌性與個人資料備份以便能夠恢復系統)。
  • 契約內包含確保處理者在契約結束時刪除或返還所有個人資料的條款。除有法律要求保存,否則處理者還必須刪除現有的個人資料。
  • 契約中確保處理者協助控制者履行GDPR中有關處理安全、個人資料外洩通知與DPIA的義務。

處理者盡職調查(Processor due diligence checks)

  • 組織與處理者簽訂契約前,採購流程會根據處理的風險進行相應的盡職調查。
  • 盡職調查程序包含資料安全檢查,例如現場訪視、系統測試與稽核要求。
  • 盡職調查過程中包含檢查確認潛在的處理者將保護資料當事人的權利。

處理者法遵性檢視(Processor compliance reviews)

  • 契約中包含允許組織進行稽核或檢視的條款,以確認處理者遵守所有契約條款與條件。
  • 組織根據處理風險進行例行的法遵檢視,以確認處理者是否遵守契約。

第三方產品與服務(Third-party products and services)

  • 組織使用第三方產品或服務處理個人資料時,確保選擇在設計產品或服務時考慮到資料保護的供應商。

目的限制(Purpose limitation)

  • 組織僅共享實現其特定目的所需的個人資料。
  • 在資料共享時,盡可能得對資料進行假名化或最小化。組織還考慮進行匿名化處理,使資料不再是個人資料。

八、風險與資料保護衝擊評估(Risks and data protection impact assessments, DPIAs)

識別、記錄與風險管理(Identifying, recording and managing risks)

  • 資訊風險政策(可以是一份單獨文件,也可以是更廣泛的企業風險政策中一部份)規定組織及其資料處理者如何管理資訊風險,以及如何監督資訊風險政策的遵循情形。
  • 組織具有程序協助員工將資訊管理與資料保護的問題與風險報告與通知至統一的地方(例如員工論壇)。
  • 組織在適當的風險管理表(risk register)內識別與管理資訊風險,其中包含企業與部門風險管理表與資訊資產風險評估間的明確關聯。
  • 組織具有正式的程序,透過資訊資產盤點表(information asset register)中識別、紀錄與管理有關資訊資產相關的風險。
  • 如果組織識別資訊風險,組織具有適當的行動計畫、進度報告以及考量過往經驗與教訓,以避免未來的風險。
  • 組織制定措施以減輕已被識別的風險,並定期測試這些措施以保持有效性。

從設計與預設著手資料保護(Data protection by design and by default)

  • 組織在所有風險、專案與應變管理的政策與程序中都記載DPIA的要求,並與DPIA政策與程序相關連。
  • 組織於程序中規定,如果有適用,必須在專案開始之前進行DPIA,DPIA必須與規劃和開發過程同時進行。
  • 組織在風險與侵害隱私的事件發生前對其進行預測,並確保在任何系統、產品或流程的初始設計階段以及整個過程中,均考量:
    1. 預期的處理活動
    2. 處理活動可能對個人權利與自由造成的風險
    3. 減輕風險的可行措施

DPIA政策與程序(DPIA policy and procedures)

  • 組織具有DPIA政策,其中包含:
    1. 決定是否進行DPIA的明確程序
    2. DPIA應包含的內容
    3. 如何授權
    4. 如何將其納入整體規劃之中
  • 組織會有一份檢查清單,用於考慮是否需要進行DPIA,包含對擬議處理的範圍、類型與方式的所有相關考量。
  • 如果檢查清單顯示組織不需要DPIA,組織應予以記錄。
  • 組織程序包含要求適時向DPO或其他內部員工尋求建議。
  • 組織程序包含與控制者、資料處理者、當事人、其代表人或其他利害關係人進行適當諮詢。
  • 員工教育訓練包含須要在任何涉及個人資料的計畫早期階段考量DPIA,並在相關情形下訓練員工如何進行DPIA。
  • 組織將完成DPIA的責任分配給有足夠權力針對專案進行決策的員工,例如項目負責人或經理。

DPIA內容(DPIA content)

  • 組織具有一個標準的、架構良好的DPIA範本,以簡易的語言書寫DPIA。
  • DPIA包含:
    1. 處理的性質、範圍、背景與目的
    2. 評估必要性、相當性與法遵措施
    3. 識別與評估當事人風險
    4. 識別減輕這些風險的任何額外措施
  • DPIA明確載明控制者、處理者、當事人與系統間的關係與資料流。
  • DPIA識別消除、減輕或降低高風險的措施。
  • 組織備有文件化流程,並有適當的文件控制,組織會定期審查流程以確保保持最新。
  • 組織記錄DPO的意見與建議及其他任何諮詢的細節。
  • 由適當的人簽署DPIA,如專案負責人或高階經理。

DPIA風險減輕與審查(DPIA risk mitigation and review)

  • 當組織無法減輕剩餘的高風險,組織具有向主管機關(在英國為ICO)諮詢的流程。
  • 組織將DPIA的結果,納入相關的工作計畫、專案行動計畫與風險管理表。
  • 在DPIA之後,組織不會開始高風險處理,直到實施適當的減輕措施。
  • 組織備有程序將DPIA的結果傳達給適當的利害關係人,例如透過正式的總結報告。
  • 在可能的情況下,組織考慮主動公布DPIA,必要時刪除敏感的細節。
  • 組織同意並記錄定期審查DPIA的時間表,或者當處理的性質、範圍、背景或目的發生變化時,檢視DPIA。

九、紀錄管理與安全(Records management and security)

建立、搜尋與檢索紀錄(Creating, locating and retrieving records)

  • 組織具有政策與程序,確保以便於管理、檢索與處置的方式對新紀錄進行適當分類、命名與編輯索引。
  • 組織識別書面或電子紀錄保存系統,並保存一個主要日誌或資訊資產盤點表。
  • 組織隨時瞭解、追蹤紀錄的去向,並嘗試追蹤遺失或未歸還的紀錄。
  • 組織可以使用獨特的參考索引編輯在異地儲存的紀錄,以實現精準的檢索與後續追踪。

傳輸安全(Security for transfers)

  • 組織制定關於以郵寄、傳真和電子方式進行內部與外部傳輸的保護規則,例如在傳輸政策或指引中。
  • 盡量減少異地傳輸的資料,並保證傳輸過程中的安全。
  • 當組織將資料傳輸到異地時,組織會使用適當的傳輸方式,例如安全快遞(secure courier)、加密、安全檔案傳輸協定(SFTP)、虛擬私人網路(VPN),並進行檢查以確保資料已被接收。
  • 組織與任何用於在組織與第三方間傳輸業務資訊的任何第三方簽訂協議。

資料品質(Data quality)

  • 組織定期對包含個人資料的紀錄進行資料質量檢視,以確保他們精準、適當且不過度。
  • 組織進行資料質量檢視或稽核後,組織會讓員工瞭解資料質量的問題,以防止再次發生。
  • 定期剔除含有個人資料的紀錄(無論是使用中或已歸檔),以減少不精準和過度保留的風險。

保存時間表(Retention schedule)

  • 組織根據業務需要,並參照法定要求與其他主體(例如英國國家檔案館),制定保存期限表。
  • 該期限表提供足夠的資訊,以確定所有紀錄,並根據期限表執行處置決策。
  • 組織要分配責任,確保員工遵循期限表,並定期檢視。
  • 組織定期檢視所保存的資料,以確定是否有機會將其最小化、假名化或匿名化,並將此紀錄於表格內。

刪除銷毀(Destruction)

  • 針對紙本文件,組織使用上所的廢物箱處理含有個人資料的紀錄,並採用內部或第三方機器碎紙或焚燒的方式。
  • 對於保存在電子設備的資訊,則使用擦除(wiping)、消磁(degaussing)或安全銷毀硬體(粉碎)的方式。
  • 機密廢棄物在銷毀之前應由組織蒐集、保管或運送。
  • 組織與第三方簽訂適當契約來處置個人資料,並且第三方向組織提供適當的保證,保證他們已經安全得處置資料,例如透過稽核檢查與銷毀證書。
  • 組織對所有送去處置或銷毀的設備與機密廢棄物都存有紀錄。

資料資產表(Information asset register)

  • 組織保有資產盤點表,其中包含所有資訊資產(軟體與硬體)的詳細資料:
    1. 資產所有者
    2. 資產的位置
    3. 保存期限
    4. 所實施的安全措施
  • 組織定期檢視盤點表,以確保其保持最新與準確。
  • 組織定期檢視盤點表中的資產進行風險評估,並進行實物檢查,以確保硬體資料庫存的準確性。

可接受的軟體使用規則(Rules for acceptable software use)

  • 組織具有可接受的使用政策或條款與條件。
  • 組織具有系統操作程序,記錄保護系統或應用程式內資料的安全配置與措施。
  • 組織監督可接受使用規則的遵守情形,並確保員工瞭解任何監督情形。

存取控制(Access control)

  • 組織制定存取控制政策,規定使用者在使用機密認證資訊(如密碼或憑證)時必須遵循組織的政策。
  • 組織實施正式的使用者存取授權程序,為員工(含臨時員工)和第三方承包商分配履行其職責所需的所有相關系統和服務的存取權限,例如到職流程。
  • 組織應限制與控制特權存取權的分配與使用。
  • 組織應保存使用者存取保有個人資料系統的log紀錄。
  • 組織定期審查使用者的存取權限,並在適當的情形下調整或取消權限,例如當員工職位變更或離職時。

未經授權的存取(Unauthorised access)

  • 組織依據最小權限原則,將對處理個人資料的系統或應用程式的存取權限限制在絕對最小的範圍內(例如實施讀/寫/刪除/執行的存取規則)。
  • 組織對處理個人資料的系統或應用程式採行一定的密碼複雜度規則與限制嘗試性登入。
  • 組織有密碼管理措施,包含預設密碼更改、控制使用任何共享密碼與安全密碼的儲存(非使用純文字)。
  • 電子郵件內容與附件安全解決方案(加密)適當得保護包含敏感個人資料的電子郵件。
  • 組織紀錄與監控使用者與系統活動,以檢測任何異常情形。
  • 組織在整個網路、關鍵或敏感資訊系統上部署防毒軟體(anti-virus)與惡意程式清除軟體(anti-malware)作為保護。
  • 防毒軟體與惡意程式清除軟體保持最新,並對其進行配置,以執行定期掃描。
  • 組織可以存取系統或軟體技術漏洞的任何更新,例如供應商的警報或修補程式,並採取相應行動。
  • 組織定期進行漏洞掃描。
  • 組織部署URL或網路內容過濾,以阻止某類別或特定的網站。
  • 組織嚴格控制或禁止使用社群媒體或訊息應用程式(例如WhatsApp)分享個人資料。
  • 組織根據情形設置外部與內部防火牆與入侵檢測系統,以確保網路與系統中的資訊安全,防止未經授權的存取或攻擊,例如拒絕服務攻擊。
  • 組織沒有使用不受支援的作業系統,例如Windows XP 或 Windows Server 2003。
  • 組織建立特別的控制措施,以保障透過公共網路或無線網路傳遞的資料機密性與完整性,並保護連接的系統和應用程式。

行動裝置、家庭或遠程工作與可攜式媒體(Mobile devices, home or remote working and removable media)

  • 組織有行動裝置和家庭/遠距工作政策,表明組織將如何管理相關的風險。
  • 組織備有保護措施,以避免未經授權存取或揭露行動裝置的資訊,例如加密與遠距擦除功能。
  • 在家庭或遠距工作的情形時,組織會採取安全措施以保護所處理的資料,例如VPN與雙因素認證。
  • 當組織有業務需要將個人資料儲存在可攜式媒體時,盡量所儲存的個人資料,組織實施一個軟體解決方案,可以為單一設備與某個設備類別設置權限或加以限制。
  • 組織不允許在未經事先授權的情況下將設備、資訊或軟體帶離現場,並且記錄所有行動裝置與可攜式媒體的使用情形與其配發對象。

區域安全(Secure areas)

  • 組織實施適當的入口管制(例如門鎖、警報器、安全照明或CCTV)保護安全區域(包含敏感或關鍵資訊的區域)。
  • 組織具有訪客政策,例如簽到程序、名牌與陪同訪問。
  • 在安全區域(如服務器機房)實施額外的保護措施,以防止外部與環境威脅。
  • 適當擺放辦公室設備,並加以保護,以減少環境威脅的風險與未經授權進入的機會。
  • 組織以安全的方式存放紙本文件,並進行接觸的管控。
  • 組織在處理個人資料的地方實行明確的辦公桌政策。
  • 組織定期清查或檢查,並適當得回報問題。
  • 於組織內實行螢幕登出政策。

營運持續、災難復原與備份(Business continuity, disaster recovery and back-ups)

  • 組織具有風險導向的營運持續計畫作為管理中斷,組織具有災難恢復計畫管理災難,這些計畫識別對組織的持續運作相關重要的紀錄。
  • 組織針對電子資訊、軟體和系統進行備份(最好將其存放於異地)。
  • 備份的頻率應反映資料的敏感性與重要性。
  • 組織定期測試備份與恢復程序,確保其仍合於目的。

十、事故應變與監控(Breach response and monitoring)

檢測、管理與記錄事故與資料外洩(Detecting, managing and recording incidents and breaches)

  • 組織有適當的教育訓練,使員工能別識別安全事故(security incident)與個人資料事故(personal data breach)。
  • 組織有專人或團隊管理安全事故與個人資料事故。
  • 員工知道如何將安全事故迅速升級至適當的人員或小組,以確定否已發生資料外洩。
  • 組織的程序與系統有助於回報安全事故與資料外洩。
  • 組織具有應變計畫,以迅速處理任何安全事故與個人資料事故。
  • 組織對實際的外洩事故與幾乎發生的事故(near misses,即使不須要向主管機關通報或個人通知)進行集中紀錄、文件化與存檔。
  • 日誌記錄了與幾乎發生的事故或與外洩事故有關的事實,其中包含:
    1. 原因
    2. 發生了什麼事情
    3. 受影響的個人資料
    4. 資料外洩的影響
    5. 採取的任何補救措施與理由

評估與事故回報(Assessing and reporting breaches)

  • 組織具有程序評估個人資料外洩對個人造成風險的可能性與嚴重性。
  • 組織具有程序,在意識到違規事故發生後72小時內通知主管機關ICO(即使尚未知悉全部資訊),並即時通知ICO。
  • 該程序包含必須向主管機關ICO提供有關違規事故的詳細資訊。
  • 如果組織認為沒有必要通報違規事故,應記錄組織認為違規事故不太可能對個人權利與自由造成風險的原因。

通知當事人(Notifying individuals)

  • 組織具有程序,規定組織將如何告知受影響的當事人有關可能對他們的權利與自由造成高度風險的資料外洩。
  • 組織以清楚易懂的語言告知當事人有關資料外洩的情形,且沒有無故遲延。
  • 組織向當事人提供的資訊包含DPO的詳細資訊、對違規事故可能造成的結果描述與所採取的措施(包含減輕風險措施與任何可能的不利影響)。
  • 組織向當事人提供建議,以保護其免於違規事故的影響。

審查與監控(Reviewing and monitoring)

  • 組織分析所有個人資料事故報告,以防止再次發生。
  • 組織監控事故的類型、數量與成本。
  • 組織對一段時間內的違規事故進行趨勢分析,以瞭解主要內容或問題。
  • 由負責監督資料保護與資訊管理小組審查這些結果。

外部稽核與法遵檢查(External audit or compliance check)

  • 組織完成外部提供的自我評估工具,以提供資料保護與資訊安全法遵性保證。
  • 組織接受或聘用外部稽核員的服務,以提供資料保護與資訊安全法遵性的獨立保證(或驗證)。
  • 組織遵守組織所屬行業的適當行為或實踐準則(如有適用)。
  • 組織製作稽核報告以記錄稽核結果。
  • 組織有一個主要行動計畫,以推展資料保護與資訊管理稽核的結果。

內部稽核程序(Internal audit programme)

  • 組織監督內部資料保護法遵性,並定期檢視現有措施的有效性。
  • 組織定期檢視員工對資料保護與資訊管理政策與程序的遵守情形。
  • 組織定期進行臨時性監督(ad-hoc monitoring)與抽查(spot checks)。
  • 組織確保對於政策遵守情形的監督是公正的,將其與政策執行者分離。
  • 組織具有主要稽核計畫/時間表,顯示資料保護與資訊管理內部稽核的規劃。
  • 組織製作稽核報告以記錄稽核結果。
  • 組織具有主要行動計畫,以推展資料保護與資訊管理稽核的結果

績效與法遵資訊(Performance and compliance information)

  • 組織具有當事人近用請求(subject access request, SAR)績效的KPI(請求量和在法定時間內完成的百分比)
  • 組織具有關於完成資料保護與資訊管理教育訓練的KPI,包含一份顯示完成訓練的員工百分比的報告。
  • 組織具有關於資訊安全的KPI,包含安全漏洞、事故與幾乎發生的事故的數量。
  • 組織具有關於紀錄管理的KPI,包含使用諸如檔案檢索統計數量,遵守處置期限表的情況,以及為含有個人資料的紙本文件檔案編輯索引與追蹤系統的績效。

管理資訊的運用(Use of management information)

  • 組織具有一個儀表板,對所有關鍵的資料保護與資訊管理KPI進行進階的摘要(high-level summary)。
  • 組織對資料保護與資訊管理進行監督的小組定期討論KPI以及監督與檢視的結果。
  • 資料保護與資訊管理KPI與監督及檢視的結果,由小組定期於業務層級討論(例如在團隊會議上討論)。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.挪威資料保護主管機關推出監理沙盒,協助人工智慧的開發
5.歐盟法院SCHREMS II案與常見問答