(新聞稿由 Edelman 提供)

歐盟即將於本月25日正式於全球實施最新修訂的「一般資料保護規例」(General Data Protection Regulation,GDPR)。新例適用於全球範圍,位於歐盟境外的企業,包括香港,若擁有屬於歐盟公民的客戶,都必須遵循法例,否則他們將面臨鉅額罰款。就連香港的生產力促進局,早前亦特地提醒企業注意 GDPR 的影響。

 

GDPR 的實行近在咫尺,企業應該開始進行部署,例如更新內部資料私隱守則及網絡保安措施,以確保客戶及自身的資料受到 GDPR 保障。有見及此,Veeam Software 為企業準備了四大建議,以迎接 GDPR 的來臨。

一、全面了解你所保存的數據和使用流程

GDPR 適用於持有歐盟公民數據或個人身份信息(Personally Identifiable Information,PII)的企業。企業千萬不要對GDPR置身事外,以為這只是IT或一般的合規問題。事實上,GDPR 與企業的營運及業務息息相關,只要有來自歐盟的客戶、合作夥伴或員工,都已受到 GDPR 的管制。因此,企業應全面了解自己擁有的所有數據,整合並製作出一個數據概覽,有助查看數據的存取權及使用方式。業務中的各個團隊和部門可能以不同的方式使用相同的數據,以達到不同的目的。無論是一個營銷部門存入潛在客戶的資料並與銷售團隊共享,或是人力資源部門需要處理員工的資料,企業必須標準化處理個人數據的程序及工作流程,並確保員工只有必要時才使用相關資料。同時,企業亦應該保證所有的利益相關者清楚理解新規例的要求,以及對他們的工作流程有何影響。

 

二、加強數據保護及制定數據洩露計劃

除了更好地管理數據並實施標準化流程,企業應該採取適當的保安措施以保護數據。建議企業透過檢視數據的儲存方式及程序,尋找出固中的安全弱點再增加支援,以降低觸犯規例的風險。

GDPR 要求持續的監控和風險評估,一旦發生數據洩露事件更必須於發現後 72 小時內通報事件。因此,企業必須及早計劃,以便迅速檢測、報告和處理數據洩露。透過採取全面的數據保護方案,科技為企業提供安全技術、標準化的工作流程、內部培訓、存取控制及備份解決方案等。有了持續的數據監控,企業能夠全面檢視所有存取數據的動態,並可對數據洩露做出更快速的回應。如果數據被惡意軟件攻擊,復原軟件也能有助保持數據可用。

 

三、進行數據審計及記錄

由2018年5月25日起,企業需要證明數據處理背後的法律依據,違規卻無法證明其數據活動的公司將受到GDPR執法機構的處分。因此,每個企業必須進行數據審計,清楚了解自己擁有哪些個人數據、其儲存位置、來源、持有的原因及方式。另外,GDPR 將在數據方面帶來更大的公民權利,大眾能夠查閱及要求企業刪除其資料。為保障這項權利,企業必須持續記錄及審核收集的數據,並標記每個數據點的位置,以便在必要時查閱它們。

 

四、持續改善

持續的監測和審核數據保護流程有助企業進行審查和改進。隨著我們的數碼應用不斷發展和擴大,企業對保護數據隱私的責任亦隨之而增加,他們必須確保數據的可用性、質量及安全性,不斷地改進以保持合規性。

GDPR 將為數碼世界帶來新氣象,而數據正在迅速成為我們這個時代最珍貴的資產。企業應該將其視為一個機會,重新檢視整個數據保護及儲存方式,與世界一同邁進向前。