本篇介紹:維護和審覈數據隱私合規制度
本篇爲第5篇/共5篇
上一篇:企業安全隱私合規體系建設經驗總結(四)
引子
在去年前三季度(2019年),我有幸主導了公司的安全隱私合規體系建設。幾乎是從零開始,完成了ISO 27001、ISO 27017、ISO 27018、GDPR、等級保護三級、CCPA等安全隱私合規認證,其中也寫了一些零零碎碎的心得和研究筆記。
而在今年春節(2020年),由於武漢肺炎疫情嚴重,假期延長,我決定系統的回顧和總結一下關於企業安全隱私合規體系建設的經驗,以讓後來人及自己以後都少走彎路。
5.1 維護合規制度時面臨的挑戰
將數據隱私合規制度投入實施後,並不意味着我們的工作已經結束,恰恰相反,制度的維護階段纔剛剛開始。
有些法律或制度本身要求定期性的採取行動。此外,世界各地的立法者一直在發佈和修改法律。企業本身也會以各種方式轉型,如併購、剝離、重組、搬家、國際擴張、人員增加和技術收購。負責隱私合規的員工也可能會發生變化。所有這些改變都會影響合規。
5.2 文件資料
爲確保維護工作的高效性和連續性,應該準備一份關於合規制度的簡要提綱、關鍵文件及決策者名稱和位置的清單,以及此前關於合規評估範圍的信息彙總。
基於這些文件資料,我們可以回答關於合規制度的問題,快速評估是否需要調整組織機構以便更新和拓展數據合規制度,對制度的定期重新評估做好記錄,並就該制度相關的問題向審計人員、同事或繼任者提供指導和培訓。
5.3 接手或審覈現有合規制度
接手現有合規制度或者審覈現有制度,大體上可以按照與創新制度一樣的任務清單進行,通過覈查文件資料或其他確認,驗證是否已符合法律規定。或者也可以向企業提出更加開放的問題,如爲實現合規已經做了哪些工作,然後根據答覆覈查如下更具體的信息:
1、每家公司、分公司的名稱、地址、員工人數等。
2、數據保護官或其他負責隱私合規工作的代表的名字和聯繫方式。
3、數據庫和數據流的目錄(包括梳理數據類型、數據主體類型、數據處理目的和處理方式的細節)。
4、外部隱私通知、聲明和同意書的副本,以及企業內部關於數據隱私和安全合規的辦事規程的副本。
5、向政府或數據保護機關提交的申報、申請和其他文件的副本。
6、有權訪問數據的服務商清單,及企業與其所籤服務協議的副本。
7、企業選用的跨國數據傳輸合規機制及相關文件資料的副本。
8、所有關於數據安全事件、數據隱私投訴、糾紛或問題的信息。對於直接營銷項目,還應瞭解企業如何管理用戶提出的退出請求、收到過多少退出請求,以及是否因未尊重用戶的退出請求而遭受過投訴。
5.4 對服務商和供應商的盡職調查
對服務商或其他供應商進行審查時,不必像對待企業內部的數據合規一樣,採取一套完整的審覈方案,而僅僅關注企業作爲客戶所需要關注的合規問題即可。
一般來說,作爲客戶,企業只關心服務商是否能確保數據安全、遵守企業關於隱私合規的指示,並在合作結束後退回或刪除數據。企業往往不關心供應商自身能否滿足政府申報及向自己員工發佈隱私通知等法律要求,因爲企業作爲數據控制者不會對供應商自身的無關數據合規的問題承擔責任。
如果服務商位於其他法域,我們還應該評估其在跨國數據傳輸方面的合規方式。這種額外的調查和確認應該在常規的供應商盡職調查之外進行,而不是取代常規調查。
5.5 併購中的盡職調查
企業併購一般是小概率事件並且是一個相當複雜的話題,我們此處暫不做討論。
5.6 審覈企業合規狀況的要點清單
參照數據隱私和安全合規項目要點清單,我們可以很方便的制定會議議程,創建項目任務列表,快速檢查企業的合規狀況。
1、誰負責數據隱私安全合規?
確認企業是否應該任命首席隱私官和各地數據隱私事項聯絡人,各地法律是否強制要求企業任命數據保護人員。
確認是否所有內部利害相關部門特別是如下部門都已經接受相應職責指導和培訓:
信息技術部(關於數據安全、存儲和訪問限制)
場地保安部
人力資源部(關於員工檔案、人力資源信息系統、員工監控、舉報熱線等)
銷售和市場部的人員(關於直接營銷)
2、企業已採取哪些措施確保數據安全?
確認是否制定了安全政策,在物理、技術和組織方面建立了充分的數據安全措施,如對數據庫訪問進行控制和對設備進行加密。
確認是否全體員工都熟知該政策並在實際工作中遵照執行。
確認數據處理服務商是否經過謹慎的挑選並已簽訂合同,企業是否對其行爲進行監督以確保數據安全。
確認一旦發生數據安全事件,企業是否能夠依據法律規定或按照合同約定向數據主體發佈通知,並做好賠償準備?
確認企業是否建立了關於數據留存和刪除的管理流程,以便在不再需要數據或法律規定不得再存儲數據的情況下,能夠安全銷燬數據。
3、所有數據主體是否都收到合適的通知並給出必要同意?所有通知和同意文本是否都準確並已更新?
大多數企業需要制定員工隱私通知併發佈網站隱私陳述;許多企業還需要就其如下行爲獲得數據主體的同意:網站植入cookie、在線追蹤、員工監控和客戶呼叫中心監控、直接營銷和攝像頭監控。
企業在履行通知和獲得同意義務時,不僅要考慮法律規定,還要考慮合同約定和其在已有通知、隱私政策中所做的承諾。
4、是否已向所有的數據保護機關或其他政府機構提交必要申報且獲得了相應的必要批准?自上一次提交申報或獲得批准相比,目前的相關情況是否發生了變化?
逐一考察企業涉足的每一個法域(在某法域設有辦事處、存在員工或其他實體形式即算):企業是否必須就數據庫或數據處理行爲向當地政府提交報告,是否必須獲得政府的批准或許可?
5、企業是否跨國接收或發送位於其他法域的自然人的數據?
確認企業及合作伙伴是否已依據歐洲數據保護法的規定,簽訂合格的數據傳輸協議或集團企業規則,獲得數據主體同意或者滿足其他合規形式。
6、企業是否已經開通舉報熱線或者已部署監控技術?
如果已經開通舉報熱線,通常必須將該情況通知數據主體,報告政府機關,並就相關事宜諮詢工會,同時必須做出一些艱難的抉擇:哪些可以報告、哪些不得報告、如何報告以及向誰報告。
大多數企業出於數據安全和合規監控目的,會過濾電子郵件,對電話進行錄音,對網絡採取安全保護措施,部署監控攝像頭並採取其他技術措施。爲此,企業必須通知其員工和非員工數據主體。根據某些法域的法律,企業還必須獲得數據主體同意,向政府機關報告上述安全措施,向工會諮詢相關做法,並改變技術實施方式以符合當地法律的規定。
7、企業營銷活動是否遵守了相關法律?
是否按法律規定取得了數據主體的事先同意?
是否向用戶提供退訂選項並遵從其選擇?
是否存在將個人數據分享給其他數據控制者供其營銷使用的情況,是否允許其他人直接從客戶或網站訪問者處採集數據?如果是,則可能需要獲得數據主體同意並就具體情況做出各種說明。
是否從第三方購買了個人數據?如果是,則是否通過合同條款充分保證爲相關目的購買和使用該信息的合法性?是否已對數據源的合法性進行合理的盡職調查並保留調查過程的記錄?
8、企業是否設計了產品、流程和標準合同來支持和實現員工、客戶和產品用戶遵守關於數據隱私和安全規定?
是否已爲數據處理活動、設備、人員、流程和合規工作做了足夠詳細的書面記錄?
在採用新技術和設計新產品、新服務前,是否設立相關流程進行隱私影響評估?
在研發新產品、新流程期間,是否考慮了客戶和終端用戶在數據隱私和安全合規方面的需求?
在研發產品的早期階段,是否已徵求數據隱私官和法務部門的意見?
是否已向客戶和終端用戶提供指引(如用戶手冊、白皮書、問答等),指導其以符合數據隱私和安全法的方式使用企業產品或者避免違法違規行爲?
在標準合同中向客戶承諾的數據隱私和安全保證條款是否滿足了所有法規規定以及客戶的合理預期?
本篇介紹:維護和審覈數據隱私合規制度
本篇爲第5篇/共5篇
上一篇:企業安全隱私合規體系建設經驗總結(四)