資料保護

歐盟關於資料保護的法律框架已經與為個人資料處理盡可能建立高度標準化的高水準資料保護的目標相互協調一致。新的《歐盟一般資料保護條例》（EU-GDPR）於2018年5月25日生效，目的在提高對個人資料的保護。

確保您的組織合規

EU-GDPR的引入要求所有企業審查現有的資料流程程並建立大量的新流程。此外，必須修訂現有的模型、清單和合同文件。此外，還須對技術和組織措施進行調整。未能遵守新條例的組織將面臨高達2000萬歐元或其全球年營業額的4%的罰款。

EU-GDPR的主要要求

以下列出了EU-GDPR的一些核心方面。

個人資料處理僅用於清晰合法的流程：通常，個人資料必須以一種形式和方式保存，以便只有在必要時以及在以處理該等資料為目的時，才能識別資料主體。若收集的目的不再適用，必須刪除個人資料。若資料主體撤回同意對其個人資料的使用或處理，組織有責任刪除（「清除」）相關資訊。

文件的擴展責任：GDPR為企業，特別是文件領域，引入了額外的責任。雖然組織已無須保持程式的公共目錄，但保持內部處理活動的記錄的責任得到了保留甚至擴展。

最大程度降低風險：EU GDPR奉行基於風險的方法，重點關注「自然人權利和自由的風險」。在個人資料外洩的情況下，可能會出現此類風險。鑒於此，條例規定，個人資料外洩須在72小時內報告有關監管部門。組織應明確規定其資料保護組織內的角色和職責，並建立和記錄減輕現有風險所需的流程。

在某些情況下，EU GDPR要求在引入資料處理之前進行詳細的風險評估。在這種情況下，風險評估的範疇從對個人資料處理的計畫活動和目的的系統描述擴展至為減輕風險和確保對個人資料的保護而計畫採取行動的文件。

TÜV SÜD如何幫助您？

TÜV SÜD建議組織識別屬於GDPR範疇內的流程，並通過校準現有流程與新要求進行初步檢查。由於EU GDPR已生效，現在正是完成實施合規流程和系統的時刻。

TÜV SÜD是監管框架和流程優化方面的領先專家，可為正在爭取符合EU-GDPR要求的企業提供支援。立即聯繫我們，瞭解更多有關服務的資訊。