什么是 GDPR 审计?
GDPR 审计是一项独立活动,旨在客观评估公司数据隐私控制、风险管理和治理的有效性。这些在 2018 年 5 月欧盟 GDPR 生效之前的几个月很受欢迎。
2018年以来发生了什么变化?
从那时起,数据隐私领域发生了很多变化,并且正在定期发生变化。 2018 年或前后进行的审计不会涵盖自那时以来出现的几个重大问题,这些问题对于 2024 年的数据隐私合规性来说是必要或建议的。 监管机构信息专员办公室(ICO)也开出了越来越多的罚款。最初,这些目标是大型组织,例如 Meta(12 亿欧元)和 Google(9000 万欧元)。但正如我们在最近的周报中所解释的那样,规模较小的公司也受到了打击。
企业应该怎样做才能保持合规?
3CS 强烈建议所有公司进行定期审查,以确保自己遵守现行规则。定期审核还展示了公司对数据隐私和安全的承诺,有助于在客户、合作伙伴和利益相关者之间建立信任。 如果公司证明已经进行了审计,那么在不合规的情况下,公司也将降低被处以巨额罚款的可能性。
企业应该考虑哪些领域?
公司客户应考虑的领域包括:
- 国际数据传输
如果公司将个人数据传输到英国以外没有英国充分性决定的司法管辖区,则他们将需要遵守 2018 年未生效的新法律和法规。这些规则适用于所有传输,并且如果英国没有针对数据传输目的地的充分性法规,传输只能在进行传输风险评估并评估适当的隐私和安全保障措施的情况下进行。
- Cookie 和同意
如果网站设置的 cookie 涉及个人数据的处理,公司需要确保遵守英国 GDPR 的要求。网站运营商需要请求同意才能使用 cookie,并且此类同意必须是自由、具体和知情的(除非 cookie 是绝对必要的)。 Cookie 合规性是 ICO 最受欢迎的话题,它建议所有网站运营商进行与 Cookie 相关的审核,以了解其网站使用的 Cookie 及其原因。
- 广告技术
对于依赖在线广告作为收入来源的公司来说,GDPR 引发了更多问题。近年来,广告技术行业受到数据保护监管机构越来越严格的审查。用于向消费者提供基于兴趣的广告的广告商、平台和中介机构组成的复杂生态系统是英国 GDPR 合规性的潜在雷区。 ICO 和其他监管机构建议严格分析同意证明、使用正确的法律依据并确保透明度——这些是英国 GDPR 的关键方面。强烈建议通过审核来了解您的合规程度。
- 人工智能
数据治理已成为全球人工智能服务监管新兴方法的核心。英国 GDPR 是英国的综合隐私法 – 它与所有行业相关并适用于所有个人数据,无论类型或背景如何,包括:
- 受到严格监管的数据(包括个人数据)的自动化处理;
- 强烈要求告知人们他们的个人数据将如何使用
- 明确要求对新的人工智能连接技术进行数据保护影响评估;和
- 自动化个人决策,包括需要数据主体明确同意才能处理个人数据的分析。
对于所有人工智能工具,合法性、公平性和透明度是英国 GDPR 的关键要求。如果您的公司打算更多地使用人工智能,强烈建议您进行 GDPR 审核,以了解您目前如何满足上述标准。
- 勒索软件、网络攻击和数据安全
勒索软件是一种被称为加密病毒恶意软件的软件,除非支付赎金,否则它会永久阻止对受害者个人数据的访问。
ICO 发布了与勒索软件相关的具体指南,其中指出:
- 英国 GDPR 要求您使用适当的措施定期测试、评估和评估技术和组织控制的有效性。没有一种测试可以进行,但所有测试都应该在公司更广泛的安全框架内考虑;
- 当数据控制者成为网络攻击/勒索软件的对象时,英国 GDPR 赋予确定该事件是否导致个人数据泄露的责任,并且公司必须立即向 ICO 通报个人数据泄露情况,并且不晚于发现后 72 小时;
- 一旦发现网络攻击/勒索软件,应进行正式的风险评估;和
- 个人数据的备份是降低勒索软件风险的最重要的控制措施之一。
英国 GDPR 的一个关键原则是通过“适当的技术和组织措施”安全地处理个人数据 - 这就是“安全原则”。应用于网络攻击/勒索软件场景时,评估稳健的技术和组织措施构成了现代 GDPR 审计的关键部分。
由于 IT 安全性不足而造成的漏洞将导致受害公司承担责任。 2020 年,英国航空公司因“安全安排不善”而被罚款 2000 万英镑,该安排使网络犯罪分子有可能窃取约 50 万客户的数据。最初提议的罚款为 1.83 亿英镑,仅由于对 COVID-19 的同情而减少。预计未来的罚款将会非常大。
- 生物识别技术
生物特征数据是指通过与自然人的身体、生理或行为特征相关的特定技术处理而产生的、允许或确认该自然人的唯一身份的个人数据,例如面部图像或指纹数据(指纹数据)。
当今世界越来越多地使用生物识别数据,根据英国 GDPR,它被指定为个人数据的子集,称为特殊类别数据。英国 GDPR 要求此类个人数据应受到特定保护,因为盗窃或使用这些数据可能会对个人的基本权利和自由造成重大风险。
3CS 如何提供帮助
因此,所有公司在按照英国 GDPR 收集、处理和存储此类信息时都需要更加小心。审计将有助于确保组织的合规性符合目的。
