服務(wù)背景

面對國內外日益完善的個(gè)人隱私立法，企業(yè)如何才能做到合規？***憑借全球資源對歐盟GDPR以及各國個(gè)人數據、隱私保護法規、標準的進(jìn)行解讀，積累了一定的研究成果。

我們愿與企業(yè)一道，識別與企業(yè)自身活動(dòng)相關(guān)的個(gè)人數據狀況、隱私保護風(fēng)險與差距，并找出應對方法，為企業(yè)的合規經(jīng)營(yíng)保駕護航。

服務(wù)概述

《通用數據保護條例》(GDPR)于2016年4月27日在歐盟官方刊物上發(fā)表。暫緩期為二年，于2018年5月25日正式生效。

GDPR旨在:
 確立個(gè)人數據的保護是人權；
 定義個(gè)人數據保護的原則和規章；
 加強產(chǎn)品或服務(wù)提供者與他們所服務(wù)的人之間的信任。

個(gè)人的7個(gè)數據權利
GDPR的核心內容是確立在處理個(gè)人資料的七項個(gè)人權利。任何正在處理這些數據的組織都需要確保這些權利得到保護。處理在GDPR中被定義為任何自動(dòng)或手動(dòng)操作，如收集、記錄、組織、結構、存儲、調整或變更、檢索、咨詢(xún)、使用、傳輸披露、傳播或以其他方式提供、排列或組合、限制、刪除或銷(xiāo)毀。（如下圖）

數據權利	描述	例子
訪(fǎng)問(wèn)權	允許個(gè)人索取本人資料的副本	銀行客戶(hù)有權請求個(gè)人數據記錄的副本，包括地址，等。
糾正權	允許個(gè)人更改本人信息	寬帶客戶(hù)有權要求ISP提供持有的信息，以更新他的聯(lián)系。
刪除權	允許個(gè)人刪除本人信息	一位美容店的顧客有權要求他的信息被刪除，因為他不再是商店會(huì )員或顧客，他不會(huì )被要求進(jìn)行新的促銷(xiāo)活動(dòng)。
限用權	除非法律相關(guān)需求，允許個(gè)人禁止本人信息被使用	建筑師有權要求他的前任雇主投標時(shí)不使用他的簡(jiǎn)歷，但他可保留他的名字在舊記錄上，以記錄法律責任。
可攜權	允許個(gè)人將本人信息從一個(gè)機構帶到另一個(gè)機構	保險客戶(hù)有權要求將其個(gè)人資料轉移到另一家保險公司，如果該行業(yè)存在一種通用的電子格式，保險公司也應提供該通用電子格式的記錄。
拒絕權	允許個(gè)人拒絕直接營(yíng)銷(xiāo)或類(lèi)似的目的	使用電子郵件推行業(yè)務(wù)的營(yíng)銷(xiāo)公司應提供”退訂“鏈接。
干預權	禁止控制者或處理者在未經(jīng)明確同意的情況下自動(dòng)對任何人進(jìn)行評估	社交網(wǎng)絡(luò )在分析用戶(hù)行為之前，應征求 提供有針對性的廣告的明確同意。

GDPR包含以下內容:
 組織的需求（歐盟代表處，數據保護主任，同意記錄之存檔，合同要求等）；
 個(gè)人的7個(gè)數據權利；
 認證方案；
 成員國監督；
 建立歐盟數據保護委員會(huì )；
 其他法律程序。

解決方案

GDPR對您的經(jīng)營(yíng)有影響嗎？如果您的企業(yè)：

在歐盟營(yíng)運業(yè)務(wù)	向歐盟銷(xiāo)售產(chǎn)品或服務(wù)	為歐盟市場(chǎng)設計產(chǎn)品
持有或處理在歐盟境內的消費者數據，無(wú)論對方是否式公民	利用歐盟個(gè)人數據進(jìn)行市場(chǎng)調查	等等
你的業(yè)務(wù)很可能在GDPR的范圍內

備注：GDPR適用于不論國籍或公民資格的歐盟境內人士。無(wú)論處理或存儲位置，它適用于任何相關(guān)的活動(dòng)或事務(wù)。

舉例說(shuō)明
假設一家中國香港的零售商，在德國的一家商店里提供量身定制的設計服裝，顧客也可以通過(guò)其商店的網(wǎng)站加入他們的會(huì )員計劃。該網(wǎng)站的服務(wù)器位于中國香港。在GDPR之下，商店客戶(hù)的個(gè)人資料（姓名、地址、體型等）應該默認存儲在歐盟，他們的網(wǎng)站應該構建在一個(gè)歐盟服務(wù)器，除非商店收到德國法定機構——德國信息專(zhuān)員辦公室的批準，所有的GDPR規定應當執行。如果在未來(lái)，中國香港的零售商改變它的商業(yè)模式，決定關(guān)閉德國零售商店并依賴(lài)于德國當地經(jīng)銷(xiāo)商獲得定制訂單，中國香港的零售商仍需要執行其GDPR義務(wù)，因為他們將處理從德國經(jīng)銷(xiāo)商那里獲得的個(gè)人數據。

為了應對及符合GDPR，您應立即：
1. 任命一名數據保護主任。（第三十七條）
2. 培訓您的員工。（第四十七條）
3. 識別在您的組織的個(gè)人資料及相關(guān)處理活動(dòng)。（第三十條）
4. 確定個(gè)人的7個(gè)數據權利的處理方案。（第15-22條）
5 .確定您的公司在歐盟的主要辦事處，從而確定帶頭的監督機構。（第四條）
6. 如果您沒(méi)有在歐盟設立任何機構，您仍然需要一個(gè)駐歐盟代表（第二十七條）。在這種情況下，從歐盟第二十九條數據保護工作組的澄清文件wp244點(diǎn)2.2中，將沒(méi)有帶頭的監督機構。公司將需要遵守所有適用的監督機構的規定。
7. 證明合規。（第5.2、24.3條）

我們的優(yōu)勢

作為國際公認的檢驗、鑒定、測試和認證機構，***在IT信息安全領(lǐng)域的解決方案，覆蓋范圍廣泛；并致力于為各行業(yè)機構提供全方位管理提升服務(wù)，內容包括：ISO/IEC27701、ISO/IEC29151、ISO/IEC27001、ISO/IEC20000、CSA STAR、ISO/IEC27017、ISO/IEC27018、ISO22301、GDPR等培訓、認證和審核相關(guān)服務(wù)。

相關(guān)服務(wù)

1、ISO22301認證
2、ISO/IEC27001信息安全管理體系認證
3、ISO/IEC20000認證
4、ISO/IEC27017認證&ISO/IEC27018認證
5、ISO/IEC27701
6、CSA STAR
7、TISAX