Salesforce Trust


一般資料保護法規

自 2018 年 5 月 25 日開始

如何針對 GDPR 法規準備就緒

於 2018 年 5 月 25 日,稱為「一般資料保護法規」(GDPR) 的隱私權新法將會在歐盟 (EU) 開始生效。GDPR 法規擴大歐盟個人的隱私權利,並對所有行銷、追蹤、處理歐盟個資的組織施加新義務。Salesforce 透過健全的隱私權及安全性保護,致力於協助我們的客戶遵守 GDPR 法規。

我是 Salesforce 客戶 - 我該如何針對 GDPR 法規做好準備呢?
在 GDPR 首頁上可找到所有針對此法規該如何做好準備的應知事項。

瞭解更多

關於 GDPR 的簡介

什麼是 GDPR 法規?

GDPR 為最新且全面的資料保護法規,歐盟鑒於科技的快速發展、全球化現象加劇,以及個人資料在國際流通的情況日趨複雜,因此修改現有法律以強化個人資料的保護。該法規將目前各國分歧的資料保護法以單一法規取代,可在每個歐盟成員國直接施行。

GDPR 法規規範歐盟個人的個資處理過程,包括收集、儲存、轉移或使用。無論組織在歐盟內是否為實體存在,任何處理歐盟個人個資的組織 (包含追蹤網路活動) 皆受到此法的規範。重要的是,在 GDPR 法規的架構下,「個人資料」的概念更加廣泛,涵蓋所有與已識別或可識別之個人 (亦即「資料當事人」) 的相關資訊。

我需要採取什麼安全性措施以因應此項新法?

組織必須使用適當的技術與組織安全性措施來保護個人資料,避免受到未經授權的處理及意外的揭露、存取、損失、破壞或修改。視特定使用的個案及受處理的個資而定,建議使用 (於部分狀況下為必要) 資料區隔、加密、虛擬假名及匿名化等方法。

以下為一些建議組織採取以保護個人資料的措施:

  • 加密:雖非必要的措施,但法規仍鼓勵使用加密,作為有效協助確保個資安全性與機密性的方式。
  • 虛擬假名:GDPR 法規鼓勵組織使用虛擬假名,作為保護資料安全性及個人權利的風險基礎措施。
  • 匿名化:比虛擬假名更深一層的步驟,將資料匿名化是保護個人資料最安全的方式。無法透過進一步處理資料或將資料與其他資訊結合之方式來識別任何個人,才可視為實質上的匿名。
  • 責任:在 GDPR 法規架構下,資料控制者有責任實作措施,以確保其所控制資料的處理方式符合 GDPR 原則。包括指派資料保護長、對資料處理者施加契約性義務,以及使用「從設計著手保護隱私」及「預設保護隱私」原則。此外,資料控制者必須能夠透過記錄處理活動及執行隱私權影響評估等方式,顯示其遵循規範。

    根據 GDPR 法規,資料控制者必須盡快向資料保護授權機構報告任何資料洩漏,且除非該洩漏不會對資料當事人造成任何傷害,必需在察覺洩漏後 72 小時內進行。如果對資料當事人造成傷害的風險很高,資料控制者必須盡快向其報告資料洩漏。資料處理者也必須盡快向資料控制者通知資料洩漏。
 
Trailhead

歐盟隱私權保護法規基礎概念

瞭解更多