歐盟資料新例 5事項要注意

(文章於2018年5月24日在香港經濟日報刊登)

GDPR Screencap

本周五(5月25日)是歐盟《通用資料保護條例》(GDPR)生效限期。本港機構若有為歐盟提供商品服務、向歐盟人士收集數據,都受新例約束,違例可遭高昂罰款。

GDPR 規定個人資料無論儲存、處理、分發於世界何處,必須受到保護,機構要提供保護數據的證據。若干類別數據若外洩,新例規定機構須72小時內報告;歐盟28國的數據擁有人有權取得、更正或刪除個人資料,機構須迅速回應。

GDPR 注意事項如下:

數據:查找機構擁有哪些個人資料,確保數據真確完整,界定數據用途。為個人客戶、機構客戶、第三方設互動渠道,取同意授權,提供查閱、更改、刪除途徑。

私隱:辨別潛在風險,私隱技術融入 IT 系統管理,從設計著手保護私隱,兼顧資料保密和數據保安。

保護:圍繞網絡保安、加密、存取控制監控、資料外洩事故監控,採取技術及組織措施 (TOM’s)。雲端服務選用支援數據私隱標準、符合跨境數據傳送法例者。

管治:分類管理數據,只向有需要用戶發送。確保資料生命周期間,機構內存取個人資料,能端對端追蹤。若涉第三方,要評估管理風險。

人員及流程:培訓員工,帶出不當使用數據對財政聲譽的巨大損失。檢查人力資源、客戶關係等密切使用數據的流程。

GDPR 是監管壓力,也是改革契機。筆者深信以信任為基礎的關係、可持續發展管治的數據資產、對數據負責任的機構文化,是優質企業的基石。

Job Lam IBMHK copy

Job Lam,IBM 香港資訊安全業務總經理

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s