本篇介绍:维护和审核数据隐私合规制度
本篇为第5篇/共5篇
上一篇:企业安全隐私合规体系建设经验总结(四)
引子
在去年前三季度(2019年),我有幸主导了公司的安全隐私合规体系建设。几乎是从零开始,完成了ISO 27001、ISO 27017、ISO 27018、GDPR、等级保护三级、CCPA等安全隐私合规认证,其中也写了一些零零碎碎的心得和研究笔记。
而在今年春节(2020年),由于武汉肺炎疫情严重,假期延长,我决定系统的回顾和总结一下关于企业安全隐私合规体系建设的经验,以让后来人及自己以后都少走弯路。
5.1 维护合规制度时面临的挑战
将数据隐私合规制度投入实施后,并不意味着我们的工作已经结束,恰恰相反,制度的维护阶段才刚刚开始。
有些法律或制度本身要求定期性的采取行动。此外,世界各地的立法者一直在发布和修改法律。企业本身也会以各种方式转型,如并购、剥离、重组、搬家、国际扩张、人员增加和技术收购。负责隐私合规的员工也可能会发生变化。所有这些改变都会影响合规。
5.2 文件资料
为确保维护工作的高效性和连续性,应该准备一份关于合规制度的简要提纲、关键文件及决策者名称和位置的清单,以及此前关于合规评估范围的信息汇总。
基于这些文件资料,我们可以回答关于合规制度的问题,快速评估是否需要调整组织机构以便更新和拓展数据合规制度,对制度的定期重新评估做好记录,并就该制度相关的问题向审计人员、同事或继任者提供指导和培训。
5.3 接手或审核现有合规制度
接手现有合规制度或者审核现有制度,大体上可以按照与创新制度一样的任务清单进行,通过核查文件资料或其他确认,验证是否已符合法律规定。或者也可以向企业提出更加开放的问题,如为实现合规已经做了哪些工作,然后根据答复核查如下更具体的信息:
1、每家公司、分公司的名称、地址、员工人数等。
2、数据保护官或其他负责隐私合规工作的代表的名字和联系方式。
3、数据库和数据流的目录(包括梳理数据类型、数据主体类型、数据处理目的和处理方式的细节)。
4、外部隐私通知、声明和同意书的副本,以及企业内部关于数据隐私和安全合规的办事规程的副本。
5、向政府或数据保护机关提交的申报、申请和其他文件的副本。
6、有权访问数据的服务商清单,及企业与其所签服务协议的副本。
7、企业选用的跨国数据传输合规机制及相关文件资料的副本。
8、所有关于数据安全事件、数据隐私投诉、纠纷或问题的信息。对于直接营销项目,还应了解企业如何管理用户提出的退出请求、收到过多少退出请求,以及是否因未尊重用户的退出请求而遭受过投诉。
5.4 对服务商和供应商的尽职调查
对服务商或其他供应商进行审查时,不必像对待企业内部的数据合规一样,采取一套完整的审核方案,而仅仅关注企业作为客户所需要关注的合规问题即可。
一般来说,作为客户,企业只关心服务商是否能确保数据安全、遵守企业关于隐私合规的指示,并在合作结束后退回或删除数据。企业往往不关心供应商自身能否满足政府申报及向自己员工发布隐私通知等法律要求,因为企业作为数据控制者不会对供应商自身的无关数据合规的问题承担责任。
如果服务商位于其他法域,我们还应该评估其在跨国数据传输方面的合规方式。这种额外的调查和确认应该在常规的供应商尽职调查之外进行,而不是取代常规调查。
5.5 并购中的尽职调查
企业并购一般是小概率事件并且是一个相当复杂的话题,我们此处暂不做讨论。
5.6 审核企业合规状况的要点清单
参照数据隐私和安全合规项目要点清单,我们可以很方便的制定会议议程,创建项目任务列表,快速检查企业的合规状况。
1、谁负责数据隐私安全合规?
确认企业是否应该任命首席隐私官和各地数据隐私事项联络人,各地法律是否强制要求企业任命数据保护人员。
确认是否所有内部利害相关部门特别是如下部门都已经接受相应职责指导和培训:
信息技术部(关于数据安全、存储和访问限制)
场地保安部
人力资源部(关于员工档案、人力资源信息系统、员工监控、举报热线等)
销售和市场部的人员(关于直接营销)
2、企业已采取哪些措施确保数据安全?
确认是否制定了安全政策,在物理、技术和组织方面建立了充分的数据安全措施,如对数据库访问进行控制和对设备进行加密。
确认是否全体员工都熟知该政策并在实际工作中遵照执行。
确认数据处理服务商是否经过谨慎的挑选并已签订合同,企业是否对其行为进行监督以确保数据安全。
确认一旦发生数据安全事件,企业是否能够依据法律规定或按照合同约定向数据主体发布通知,并做好赔偿准备?
确认企业是否建立了关于数据留存和删除的管理流程,以便在不再需要数据或法律规定不得再存储数据的情况下,能够安全销毁数据。
3、所有数据主体是否都收到合适的通知并给出必要同意?所有通知和同意文本是否都准确并已更新?
大多数企业需要制定员工隐私通知并发布网站隐私陈述;许多企业还需要就其如下行为获得数据主体的同意:网站植入cookie、在线追踪、员工监控和客户呼叫中心监控、直接营销和摄像头监控。
企业在履行通知和获得同意义务时,不仅要考虑法律规定,还要考虑合同约定和其在已有通知、隐私政策中所做的承诺。
4、是否已向所有的数据保护机关或其他政府机构提交必要申报且获得了相应的必要批准?自上一次提交申报或获得批准相比,目前的相关情况是否发生了变化?
逐一考察企业涉足的每一个法域(在某法域设有办事处、存在员工或其他实体形式即算):企业是否必须就数据库或数据处理行为向当地政府提交报告,是否必须获得政府的批准或许可?
5、企业是否跨国接收或发送位于其他法域的自然人的数据?
确认企业及合作伙伴是否已依据欧洲数据保护法的规定,签订合格的数据传输协议或集团企业规则,获得数据主体同意或者满足其他合规形式。
6、企业是否已经开通举报热线或者已部署监控技术?
如果已经开通举报热线,通常必须将该情况通知数据主体,报告政府机关,并就相关事宜咨询工会,同时必须做出一些艰难的抉择:哪些可以报告、哪些不得报告、如何报告以及向谁报告。
大多数企业出于数据安全和合规监控目的,会过滤电子邮件,对电话进行录音,对网络采取安全保护措施,部署监控摄像头并采取其他技术措施。为此,企业必须通知其员工和非员工数据主体。根据某些法域的法律,企业还必须获得数据主体同意,向政府机关报告上述安全措施,向工会咨询相关做法,并改变技术实施方式以符合当地法律的规定。
7、企业营销活动是否遵守了相关法律?
是否按法律规定取得了数据主体的事先同意?
是否向用户提供退订选项并遵从其选择?
是否存在将个人数据分享给其他数据控制者供其营销使用的情况,是否允许其他人直接从客户或网站访问者处采集数据?如果是,则可能需要获得数据主体同意并就具体情况做出各种说明。
是否从第三方购买了个人数据?如果是,则是否通过合同条款充分保证为相关目的购买和使用该信息的合法性?是否已对数据源的合法性进行合理的尽职调查并保留调查过程的记录?
8、企业是否设计了产品、流程和标准合同来支持和实现员工、客户和产品用户遵守关于数据隐私和安全规定?
是否已为数据处理活动、设备、人员、流程和合规工作做了足够详细的书面记录?
在采用新技术和设计新产品、新服务前,是否设立相关流程进行隐私影响评估?
在研发新产品、新流程期间,是否考虑了客户和终端用户在数据隐私和安全合规方面的需求?
在研发产品的早期阶段,是否已征求数据隐私官和法务部门的意见?
是否已向客户和终端用户提供指引(如用户手册、白皮书、问答等),指导其以符合数据隐私和安全法的方式使用企业产品或者避免违法违规行为?
在标准合同中向客户承诺的数据隐私和安全保证条款是否满足了所有法规规定以及客户的合理预期?
本篇介绍:维护和审核数据隐私合规制度
本篇为第5篇/共5篇
上一篇:企业安全隐私合规体系建设经验总结(四)
