GDPR

GDPR 的資料保護原則,第三部分:準確度與儲存限制

今年五月是個很有意思的月份。Google 和 Facebook 雙雙面臨 88 億美元的訴訟;Kanye West 宣佈支持 Donald Trump;而幾乎所有人的收件匣都擠滿了「我們已更新隱私權聲明」電子郵件。這一切代表什麼?癥結點是什麼?當然,這意味著我們也必須遵守 GDPR。Kanye 那件事毫不相關,所以不算在內。

一般資料保護規範 (General Data Protection Regulation, GDPR) 自 2018 年 5 月 25 日起正式生效。也就是說,從現在起,全球舉凡需收集歐盟居民個人資料的公司行號,在處理這些個人資料時皆須更加謹慎,必須保障這類資訊的安全與隱私。同時,這也表示現在該繼續探討系列文章「詳細解讀 GDPR 的資料保護原則」了。

請務必遵守 GDPR。下載這份免費指南。

在本系列連載文章中,我們將探討這七項資料保護原則、這些原則與 GDPR 之間的關係,以及如何運用這些原則保障貴公司的資料並確實遵守 GDPR 與其他監管準則。

第一篇文章中,我們介紹了 GDPR 的基本概念,包括何謂 GDPR、GDPR 的重點,以及 GDPR 所影響的對象;此外,我們也探討了資料保護的第一條原則:有權要求公平、合法且公開透明的資料處理流程。不出您所料,我們的第二篇文章已經探討過第二條和第三條原則:目的限制與資料最小化。

所以,現在就接續之前的內容,繼續探討第四條和第五條原則:準確度與儲存限制。

個人資料必須準確無誤

依據 GDPR 的第四條原則,舉凡所收集或處理的個人資料,皆須「準確無誤,且必須酌情保持更新。」GDPR 進一步規定以資料處理目的為前提,「必須在合理範圍內盡一切可能立即刪除或更正不準確的個人資料,不得延誤」。

這究竟是什麼意思?簡而言之:您不能保留無用資料,而且有責任確保資料的準確度與時效性。如果資料不準確或不符合時效,就必須刪除。舉例來說,假設您忙著處理一項政治宣傳活動,而您所用的資料是上一次大選期間得到的資料。第四條原則規定您有責任先確認自己使用的資料準確無誤且符合時效,之後才能將資料寄給選民。

這項規定牽涉到資料當事人更正及刪除資料的權利,而這兩項權利都是 GDPR 的重要條款。依據更正權的規定,個人有權要求更正不正確的資訊,也有權要求補齊不完整的資訊。依據刪除權的規定,個人有權要求刪除其資料,而且您應該及時進行刪除。

GDPR 並未深入規範資料準確度原則。具體而言,這條原則並未確切列舉出何謂「盡一切可能」保障準確度。不過,有一點是肯定的:若不更新或刪除已經過時的無用資料,您有可能會面臨重罰,這就關係到下一條原則。

您必須針對個人資料的儲存設限 (亦即不可保留不再需要的資料!)

我在探討第三條原則時曾經提過,保留一切資料以備不時之需是違反 GDPR 的行為,還記得嗎?規定制訂者太重視這條規定了,所以整份資料保護原則皆以這條規定為準據:即儲存限制原則。

依據這條原則,個人資料「不得以能夠辨別資料當事人身分的形式進行保存,且保存期限不可超過個人資料處理目的所需時間」。若要長時間儲存個人資料,必須證明該項資料「經處理後純粹做為歸檔之用,其目的是以公共利益、科學或歷史研究或統計為準據」。

基本上,就像之前提過的,唯有在依據資料收集目的完成作業所需的期間內,您才能保留資料。資料可用期限也許更長,但您不能繼續持有,也不能將資料重複運用於其他用途 (或將資料出售給他人)。這樣的規定有助於預防諸如 Facebook/Cambridge Analytica 所發生的醜聞,同時這也是 GDPR 所賦予的基本權利。

您必須備妥規定留存期限的政策,以及該項政策的文件記錄規定 (為進行法遵稽查所需),才算遵守這項原則。此外,您還要經常檢查已經過時的資料,適時刪除已經不再需要的資料。

管理式檔案傳輸對於企業遵守規定的助益

如前所述,若貴公司需收集、儲存、處理或傳輸歐盟居民的個人資料,就必須遵守一般資料保護規範 (GDPR)。有鑑於此,最佳做法就是保證個人資料傳輸流程所用的系統、使用者驗證及加密技術全數安全無虞且遵守 GDPR。

像 MOVEit 如此可靠的管理式檔案傳輸解決方案,能夠透過許多方式協助貴公司遵守 GDPR。

MOVEit 可以讓您運用自動的檔案完整性檢查流程,以利證明檔案未經竄改,避免出現嚴重錯誤而導致資料不準確。

同理可證,您可以運用 MOVEit 的內建排程工具安排一般資料傳輸前及傳輸後作業,例如確認資料的準確度和效力,以及檢查並遵守留存期間。

MOVEit 安全管理式檔案傳輸也具備傳輸及閒置資料加密功能,不但能與既有資安系統整合,也能提供詳細的檔案傳輸活動記錄。

本文轉載自ipswitch官方網站部落格

GDPR 的資料保護原則,第二部分:目的限制與資料最小化

一般資料保護規範 (General Data Protection Regulation, GDPR) 自 2018 年 5 月 25 日起正式生效。也就是說,從現在起,全球舉凡需收集歐盟居民個人資料的公司行號,在處理這些個人資料時皆須更加謹慎,必須保障這類資訊的安全與隱私。同時,這也表示現在該繼續探討系列文章「詳細解讀 GDPR 的資料保護原則」了。

在本系列連載文章中,我們將探討這七項資料保護原則、這些原則與 GDPR 之間的關係,以及如何運用這些原則保障貴公司的資料並確實遵守 GDPR 與其他監管準則。

第一篇文章中,我們介紹了 GDPR 的基本概念,包括何謂 GDPR、GDPR 的重點,以及 GDPR 所影響的對象;此外,我們也探討了資料保護的第一條原則:有權要求公平、合法且公開透明的資料處理流程。本週文章將接續上一篇文章的主題,繼續介紹第二條和第三條原則:目的限制與資料最小化。

GDPR 規定必須針對收集資料的目的設限

依據 GDPR [第 5 項第 1(b) 條]中的第二項資料保護原則,收集個人資料時必須「秉持具體、明確且正當的目的為之,如需進一步處理,處理方式不得與其目的相悖。」舉凡進一步處理個人資料之行為,一概不得「背離其原始目的」。

請務必遵守 GDPR。下載這份免費指南。

簡而言之,意思是要有正當、合法的目的才能收集和處理使用者資料,再也不能單憑做得到就將所有資料一網打盡。如果您收集不符合具體目的的資料,可能就違反了 GDPR 規定。同理可證,倘若您為了某個特定目的而收集並處理資料,就不能為了其他不相關的目的處理該項資料。例如,依據 GDPR 的規定,若收集資料的目的是為了研究,就不能為了行銷目的而處理及出售該項資料。

依據 GDPR 的規定,個人資料是指資料本身或合併處理者可能取得的其他資料後,能夠用於辨別個人身分的資料。姓名、電話號碼、IP 位址、電子郵件等等,全都屬於個人資料。

不久前 Cambridge Analytica/Facebook 爆出醜聞,Mark Zuckerberg 甚至為此親赴美國國會及歐盟議會,在議員面前作證;這樁醜聞讓世人得知,英國政治顧問公司 Cambridge Analytica 在 2016 年美國大選期間挪用以研究為目的收集而來的資料,鎖定數百萬名美國與歐盟公民進行政治宣傳。若以 GDPR 規定的最新限制為準,Cambridge Analytica 和 Facebook 會面臨鉅額罰金,最高可罰全球年營業額的 4%。美國現行法規並沒有這類目的限制法。

各企業還必須盡可能減少需要收集與儲存的資料

GDPR 大刀闊斧改革資料收集與處理流程,其中第 5 節第 1(c) 條的資料最小化原則特別值得注意。依據這條原則,舉凡所收集到的個人資料,皆須「適當、相關,且僅止於符合資料處理目的所需的程度」。

這項規定與目的限制息息相關,不同之處在於資料最小化原則限制的重點在於所儲存及收集的資料。重點是,從收集到處理、儲存與使用,舉凡資料生命週期當中的每一個階段,皆須採行資料最小化流程及規定,才算遵守 GDPR。在這個流程當中的每一個環節,您都要捫心自問:我們真的需要這項資料嗎?如果答案是否定的,就該刪除這項資訊。您應該將此流程記載於可資證明的稽核記錄中。

此外,要做到資料最小化,您就需要思考打算儲存特定資料多久。例如,若需要資料的目的是用於一項將會持續七週的專案,則在專案結案後、不再需要該項資料時,您就必須刪除資料。目前業界的慣例是保留一切資料,以防不時之需。敬請注意:這種慣例違反 GDPR。

為遵守 GDPR,收集資料之前請先自問以下問題:

  • 我會如何運用這項資料?
  • 如果不收集這項資料,我能達成目標嗎?
  • 我需要儲存這項資料多久,才能達成目標?

MOVEit 對於遵守 GDPR 第二條和第三條原則的助益

若貴公司需收集、儲存、處理或傳輸歐盟居民的個人資料,就必須遵守一般資料保護規範 (GDPR)。有鑑於此,最佳做法就是保證個人資料傳輸流程所用的系統、使用者驗證及加密技術全數安全無虞且遵守 GDPR。

不需編寫指令碼就能掌握先進的工作流程自動化功能。立即試用 MOVEit Automation 免費試用版。

像 MOVEit 如此可靠的管理式檔案傳輸解決方案,能夠透過許多方式協助貴公司遵守 GDPR。

MOVEit 就是一套以表單為主的解決方案,讓您能夠進行符合標準、安全又有記錄可循的資料傳輸作業,以利追蹤資料的去向、使用者,以及瀏覽者。MOVEit 能讓您全權掌握資料生命週期,因此是遵守資料最小化原則不可或缺的要素。MOVEit 提供詳盡而全面的分析功能,您可以深入洞悉檔案傳輸活動的各項資訊,由始至終嚴格遵守 GDPR 的資料保護原則。

MOVEit 安全管理式檔案傳輸也具備傳輸及閒置資料加密功能、資料完整性檢查功能,不但能與既有資安系統整合,也能提供詳細的檔案傳輸活動記錄。

本文轉載自ipswitch官方網站部落格

GDPR 的資料保護原則,第一部分 基本概念

歐盟將於兩週後開始實施一般資料保護規範 (General Data Protection Regulation, GDPR),值此之際,全球各企業的首要之務就是 GDPR 就緒程度。除了據點設於歐盟 (EU) 地區的企業和組織,其他各地的企業也一樣嚴陣以待。

GDPR 制定高標準資料保護規範,舉凡需要處理歐盟地區居民個人資料的組織,無論組織本身是否設於歐盟境內,一律必須遵守這項規範。這件事非常重要,因為 GDPR 制定的標準遠比現行美國隱私權法規定的標準更加嚴格。違規罰金也相當嚴苛:最高可罰 2400 萬美元或全球年營業額的 4%,且以其中金額較高者為準。

GDPR 奠基於七項資料保護原則,七項原則共同發揮作用,確保企業在收集與處理個人資料時不得不格外留意個人權利。

在本系列連載文章中,我們將探討這七項資料保護原則、這些原則與 GDPR 之間的關係,以及如何運用這些原則保障貴公司的資料並確實遵守 GDPR 與其他監管準則。

首先,我們來瞭解一下 GDPR 的基本概念。

具體而言,GDPR 到底是什麼?

 一般資料保護規範 (GDPR) 是即將針對 28 個歐盟會員國實施的全新資料保護法。

鑑於 28 個歐盟會員國現階段採行的資料保護規章及權力亂無章法,因此,GDPR 的用意即在於取代現行規範,即將成為全歐盟境內完全同調且一體適用的法規。

這項改革措施將歐盟 1995 年資料保護指導方針的各項原則修訂得更符合現代需求,而且能夠規範法規所稱的資料控管者及資料處理者 (文後將詳細探討),進一步保障資料控管者及資料處理者所處理的歐盟公民個人資料。

請務必遵守 GDPR。下載這份免費指南。

新法規加強了使用者對於個人資料處理及儲存方式的掌控權,同時讓使用者得以享有重要的權利及自由,例如刪除權、同意權、知情權、資料流通權,以及個人資料刪除權 (亦即「被遺忘權」)。

接下來,我們來深入探討幾個攸關 GDPR 的重要問題:

GDPR 何時開始生效?

GDPR 是在 2016 年 4 月底簽訂立法,自 2018  5  25 開始生效。自生效日起,任何組織,凡需收集、儲存或處理歐盟居民個人資料者,皆須遵守一般資料保護規範。

何謂個人資料?

個人資料是指資料本身或合併處理者可能取得的其他資料後,能夠用於辨別個人身分的資料。各行各業的組織多需收集、處理及傳輸個人資料,因此成為網路罪犯眼中有利可圖的目標,自然也是網路釣魚、拒絕服務、勒索軟體及進階持續性威脅等各類攻擊的對象。

資料控管者和資料處理者又是什麼?

控管者和處理者是兩種截然不同的組織,但兩者皆須遵守 GDPR。顧名思義,前者是指「控管」使用者資料的組織,後者是指「處理」這類資料的組織。

處理者泛指任何收集、處理、儲存或傳輸歐盟公民個人資料的組織。控管者則是主導處理者所行活動的組織。

也就是說,控管者負責決定個人資料的處理方式和理由,處理者則負責代控管者執行。例如,將支票攝影流程外包出去的銀行稱為資料控管者,其承包商即為處理者。

依據 GDPR 規定,處理者需保留一切處理活動的稽核記錄,但控管者有責任確保其所有資料處理者均遵守規定。一旦處理者網路出現漏洞,控管者也難辭其咎,同樣必須承擔資料保護義務。

控管者和處理者之間的個人資料傳輸作業必須安全無虞,處理資料的過程中,也必須妥善保護資料。在某些情況下,GDPR 也可以要求資料處理者刪除處理完畢後不再需要的個人資料。

誰必須遵守 GDPR

GDPR 規範任何收集、儲存或處理歐盟居民個人資料的組織。無論貴公司的總部設於何處,皆須遵守這項規範。即使在歐盟地區並未設立實體據點的公司,一樣必須遵守 GDPR。

我已經遵守 HIPAA 了,應該不會違反 GDPR 吧?

不一定。兩項規範雖有一些重疊的部分,但 GDPR 的法規範圍更大,影響也更深遠。若有意深入瞭解兩者之間的差異,請參閱這裡。

違規會遭受什麼樣的懲罰?

若不遵守 GDPR,後果相當嚴重,罰金最高可達 2000 萬歐元或全球年營業額的 4%,且以其中金額較高者為準。

英國呢?英國脫歐之後就不需要遵守這項規範了吧?

不,即便脫歐之後,英國的公司行號仍須遵守 GDPR。英國退出歐盟的日期在 2018 年 5 月 GDPR 生效日之後。因此,英國企業仍屬於歐盟管轄範圍,必須遵守 GDPR。脫歐之後,英國企業如需收集、儲存或處理歐盟居民的個人資料,仍然必須遵守這項規範。

還有其他疑問嗎?請參閱我們的給拖延者的 GDPR 指南,查看關於 GDPR 及其象徵含義的深度剖析。現在,我們繼續探討第一條資料保護原則:公正、合法且公開透明的資料處理流程。

公正、合法且公開透明的資料處理流程

「公正、合法且公開透明的資料處理流程」,這項規定是資料保護法案的第一條資料保護原則,同時也是 GDPR 新式規定的基礎。這是什麼意思?

依據這項規定,GDPR 要求資料控管者必須能夠針對個人資料處理事宜提供詳細的資訊給資料當事人 (亦即使用者)。

資料控管者必須以容易取得的方式提供這項資料,並且必須採用簡明扼要、一目瞭然的用語,否則視同違反規定。換句話說,冗長的使用者協議此後再也不管用了。

為遵守公開透明這項規定,資料控管者收集任何資料前皆須告知資料當事人,無論何時,只要變更資料收集流程,也必須告知資料當事人,最後,資料控管者必須請資料當事人同意資料處理事宜。

同意的形式不只一種,但必須是出於資料當事人的自由意志,而且必須由資料當事人主動表達同意 (即按下核取方塊)。也就是說,GDPR 嚴禁默許行為。

這條法律同時也闡明,收集並用於處理的資料必須「適當、相關,且符合資料處理目的所需」,而且該項資料的儲存期限必須「嚴格維持在最短期限內」。

MOVEit 對於遵守 GDPR 的助益

如前所述,若貴公司需收集、儲存、處理或傳輸歐盟居民的個人資料,就必須遵守一般資料保護規範 (GDPR)。有鑑於此,最佳做法就是保證個人資料傳輸流程所用的系統、使用者驗證及加密技術全數安全無虞且遵守 GDPR。

第一條原則的重點主要著重於同意權,但像 MOVEit 如此可靠的管理式檔案傳輸解決方案仍然能夠透過許多方式協助貴公司遵守 GDPR。例如,若使用者要求索取一份資料處理記錄副本,由於您必須遵守 GDPR 規定,因此一定要答應對方提出的要求。MOVEit 內建資料不可否認技術,因此您可以證明上傳、下載某個特定檔案的人員,也可以證明上傳及下載的檔案完全一致,從而能夠驗證每一位檔案存取使用者的身分,也能提供一份可靠的檔案存取記錄。

MOVEit 安全管理式檔案傳輸也具備傳輸及閒置資料加密功能、資料完整性檢查功能,不但能與既有資安系統整合,也能提供詳細的檔案傳輸活動記錄。

歡迎參閱下列資源,進一步瞭解 GDPR 及其象徵含義。

符合數據保護法規的七個步驟

遵守 GDPR 的七個步驟(英文)

檔案傳輸與 GDPR(英文)

英國脫歐與 GDPR(英文)

金融服務資料傳輸與 GDPR(英文)

本文轉載自ipswitch官方網站部落格

符合GDPR的5個關鍵步驟

歐盟的一般資料保護規範(GDPR)於2016年4月通過,並於2018年5月生效。歐洲議會建立了GDPR,作為保護歐盟公民個人身份信息(PII)的機制。根據GDPR的定義,PII不僅包含姓名,地址和生日等詳細信息,而且範圍更廣,包括網路身份資訊,如IP地址,MAC地址,cookie等。

GDPR為歐盟公民提供與其PII相關的特定權利,並概述了組織必須如何處理這些數據。GDPR迫使組織改變他們收集,存儲,管理,傳輸,共享和保護PII的方式。

誰適用GDPR?

儘管歐盟建立了GDPR,但它將法律責任擴展到歐盟境外,因此世界上任何維持歐盟公民PII的組織都必須遵守。

第1步:了解存儲客戶資料的位置

首先,您應該檢查您的網路以確定存儲客戶資料的每個位置。GDPR涵蓋所有IT系統和設備,包括移動設備以及公共,私有和混合雲環境。

一旦建立存儲每個客戶資料的位置就可以監控進出這些資料的所有流量。

第2步:利用網路流量分析來監控每個對話

在GDPR下,資料控制者必須保留其職責範圍內的處理活動記錄。

一旦知道客戶資料的存儲位置,就要監控每個對話,以了解誰訪問了哪些數據資料。結合使用安全分析來查找異常行為並發出警報。然後,如果遇到問題,您將可以調閱歷史取證資訊進行調查。這將允許事件反應團隊成員快速確定原因,修復問題,識別可能已訪問的訊息,並使業務恢復正常。

第3步:監控資料洩漏

現在您已知道敏感資料存在於何處以及誰擁有合法訪問權限,您可以採用最小權限方法來確保只有那些人訪問它,以及查找哪些資料被緩慢的模式被偷偷竊取。

但是,如果安全和網路團隊在資料孤島中工作,這可能會很困難。在許多組織中,網路團隊可以獨占存取對安全團隊非常有價值的通訊訊息。

通過部署其中兩個團隊都可以訪問相同資料系統,可以更快地檢測和緩解諸如低速和慢速資料竊取之類的威脅。

第4步:建立快速調查系統

可能導致組織最大困難的GDPR方面的違規通知要求。如果資料處理器發生違規,他們有義務在沒有不當延遲的情況下通知資料控制器。資料控制人員有法律義務在發現資料洩露後72小時內通知監管機構。72小時內調查和了解發生的事情是一個非常緊迫的時間。對於擔心GDPR符合規範的任何組織而言,網路流量分析平台是絕對必須的。您必須能夠收集有關網路上每個對話的詳細訊息,並能夠快速提交報告並確定根本原因。

步驟5:記錄事件反應過程以幫助導引相關數據

事件反應處置是人員,流程和技術的組合:

  • 人們將始終發揮核心作用,每個組織都必須分配資源,具體負責反應安全事件。
  • 過程是應該發生什麼以及何時發生的定義。該流程定義了誰參與,誰必須得到通知,如何升級訊息,哪些部門必須參與以及團隊可以使用哪些技術工具。
  • 技術提供了識別所發生事件並迅速恢復正常所需的歷史取證數據。

同樣,不要將安全和網路團隊視為單獨的。事件反應必須是努力合作,並且兩個團隊都需要可存取公共資料。

透過制定明確的事件反應計劃並定期練習,您的組織將更好地準備快速反應並控制攻擊或入侵。

Plixer提供免費版的網路流量分析平台Scrutinizer。如果您對部署Scrutinizer以幫助維護GDPR符合法規感興趣,可以在此處下載免費版https://www.ecnetworker.com/trial/

Ipswitch宣布MOVEit已為客戶就GDPR(通用數據保護條例)作好準備

美國馬薩諸塞州伯靈頓市 – 2018年6月19日 – Ipswitch公司宣佈其可管理檔案傳輸解決方案MOVEit已準備好用於2018年5月25日全面生效的通用數據保護條例(GDPR)。

GDPR為數據保護設定高標準,並適用於任何處理歐盟居民個人數據的組織,包括地理位置上不屬於於歐盟國家中的公司,對違規行為的處罰非常苛刻。因此,世界各地的公司必須為GDPR做好準備。
GDPR基於七項數據保護原則,共同確保個人權利為收集和處理個人數據的核心。 Ipswitch的MOVEit遵守GDPR的數據保護原則,以安全、準確、可控、以文件化的方式支援外部數據傳輸,以確保符合GDPR

我們收集的數據比以往更多,包含個人數據的檔案、表單和數據庫分佈在世界各國的伺服器。可管理檔案傳輸解決方案的出現的因此而變得十分重要。 MOVEit為GDPR做好準備,符合ISO 27001,HIPAA,PCI,SOX,BASEL I / II / III,FIPS,FISMA,GLBA,FFIEC,ITAR和其他數據隱私法規。這對每個行業都是一個有用的解決方案。最新版本MOVEit 2018於GDPR生效之前於2018年4月 發布。

全球數千家公司正使用MOVEit可管理檔案傳輸(MFT)軟件:

快來下載測試最新釋出的Ipswitch MOVEit 2018吧:D
https://www.ecnetworker.com/trial/

任何MOVEit技術問題,歡迎與我們易璽科技聯繫

 

文章轉載自:https://tw.ipswitch.com/about/news-and-events/ipswitch-news/ipswitch宣布moveit已為客戶就gdpr(通用數據保護條例)作好準備