自2016年5月起生效,自2018年5月起实施--欧盟《通用数据保护条例》(GDPR)仍让许多公司疑惑:我们是否受到影响?如果是这样:我们如何实现法律的确定性?我们又能为数据保护合规做些什么?
Loading...
自2018年5月起,处理个人数据的公司--其中有相当多的公司--必须准备好支付一笔巨额罚款。对数据泄露的惩罚可能是巨大的。如果他们不完全遵守新的GDPR的要求,情况总是如此。此外,新版《德国联邦数据保护法》(BDSG)对GDPR进行了补充和证实。然而,在这里,不确定性到处存在:
- 到底什么是 "个人数据"?
- 根据GDPR,我们是一个 "负责任的实体 "吗?
- 谁是 "数据主体"?
- 个人数据的 "自动处理 "到底是什么意思?
- 我们必须任命一名数据保护官员吗?
必须实施哪些措施
需要解决的数据保护合规问题的清单很长。
诚然,条例中使用的术语的定义可以在FAQ列表中找到。然而,这并不一定能保证对个别公司的具体意义的明确性。最迟在员工执行和遵守必要(因为需要)的措施和职责时,必须对这些问题有正确的答案,例如:
- 什么是 "技术-组织措施"?
- 它们在什么时候是必要的?
- 什么是 "相称性"?
- GDPR所要求的许多 "控制",如 "访问或披露控制",又是怎么回事?
- 如何确保数据保护的合规性?
"这两个主题之间的根本区别:信息安全保护公司的数据不被第三方滥用;数据保护旨在保护个人数据"。
在2019年8月,随着 ISO 27701发布了一项新标准,制定了信息安全管理中的数据保护要求。因此,ISO 27701规定了基于ISO 27001、ISO 27002(信息安全措施指南)和ISO 29100(数据保护框架)的数据保护管理系统。ISO 27701是对ISO 27001的一个补充。单独根据新标准进行认证是不可能的。
数据保护合规性--好处
您可以得到
- 关于行动领域的可靠信息
- 对隐藏潜力的了解
- 在实施适当的措施后,在处理数据方面有更多的行动保障和法律确定性
安全方面--通过DQS的数据保护审计
因此,努力实现数据保护合规性的公司应该做两件事:尽快让自己或其合规人员熟悉这一主题,并由DQS 这样的独立机构以差距分析的形式确定现状。
这种数据保护审计的重点是带有文件审查的自我评估。然后对公司进行现场检查,以确定其是否符合基本的数据保护方面的要求。一份报告显示是否需要采取行动,如果需要,需要采取什么行动。
Loading...
DQS新闻
与DQS保持信息畅通,订阅我们的最新资讯。
作者
Krüger Gert
DQS的信息安全、BSI-KritisV和数据保护的专家和项目经理。此外,他还是质量和环境管理方面的长期审计师。
Loading...