[商業法 - 資料隱私] 為何在 2024 年重新檢視 GDPR 審計

什麼是 GDPR 審計？

GDPR 審計是一項獨立活動，旨在客觀評估公司資料隱私控制、風險管理和治理的有效性。這些在 2018 年 5 月歐盟 GDPR 生效之前的幾個月很受歡迎。

2018年以來發生了什麼變化？

從那時起，資料隱私領域發生了許多變化，並且正在定期發生變化。 2018 年或前後進行的審計不會涵蓋自那時以來出現的幾個重大問題，這些問題對於 2024 年的資料隱私合規性是必要或建議的。監管機構資訊專員辦公室（ICO）也開出了越來越多的罰款。最初，這些目標是大型組織，例如 Meta（12 億歐元）和 Google（9000 萬歐元）。但正如我們在最近的周報中所解釋的那樣，規模較小的公司也受到了打擊。

企業應該怎麼做才能保持合規？

3CS 強烈建議所有公司進行定期審查，以確保自己遵守現行規則。定期審核也展示了公司對資料隱私和安全的承諾，有助於在客戶、合作夥伴和利害關係人之間建立信任。如果公司證明已經進行了審計，那麼在不合規的情況下，公司也將降低被處以巨額罰款的可能性。

企業應該考慮哪些領域？

公司客戶應考慮的領域包括：

• 國際資料傳輸

如果公司將個人資料傳輸到英國以外沒有英國充分性決定的司法管轄區，則他們將需要遵守 2018 年未生效的新法律和法規。這些規則適用於所有傳輸，如果英國沒有針對資料傳輸目的地的充分性法規，傳輸只能在進行傳輸風險評估並評估適當的隱私和安全保障措施的情況下進行。

• Cookie 和同意

如果網站設定的 cookie 涉及個人資料的處理，公司需要確保遵守英國 GDPR 的要求。網站營運商需要請求同意才能使用 cookie，且此類同意必須是自由、具體和知情的（除非 cookie 是絕對必要的）。 Cookie 合規性是 ICO 最受歡迎的話題，它建議所有網站營運商進行與 Cookie 相關的審核，以了解其網站使用的 Cookie 及其原因。

• 廣告技術

對於依賴網路廣告作為收入來源的公司來說，GDPR 引發了更多問題。近年來，廣告科技產業受到資料保護監管機構越來越嚴格的審查。用於向消費者提供基於興趣的廣告的廣告商、平台和中介機構組成的複雜生態系統是英國 GDPR 合規性的潛在雷區。 ICO 和其他監管機構建議嚴格分析同意證明、使用正確的法律基礎並確保透明度——這些是英國 GDPR 的關鍵方面。強烈建議透過審核來了解您的合規程度。

• 人工智慧

資料治理已成為全球人工智慧服務監管新興方法的核心。英國 GDPR 是英國的綜合隱私法 – 它與所有行業相關並適用於所有個人數據，無論類型或背景如何，包括：

- 受到嚴格監管的資料（包括個人資料）的自動化處理；

- 強烈要求告知人們他們的個人資料將如何使用

- 明確要求對新的人工智慧連接技術進行資料保護影響評估；和

- 自動化個人決策，包括需要資料主體明確同意才能處理個人資料的分析。

對於所有人工智慧工具，合法性、公平性和透明度是英國 GDPR 的關鍵要求。如果您的公司打算更多地使用人工智慧，強烈建議您進行 GDPR 審核，以了解您目前如何符合上述標準。

• 勒索軟體、網路攻擊和資料安全

勒索軟體是一種被稱為加密病毒惡意軟體的軟體，除非支付贖金，否則它會永久阻止對受害者個人資料的存取。

ICO 發布了與勒索軟體相關的具體指南，其中指出：

- 英國 GDPR 要求您使用適當的措施定期測試、評估和評估技術和組織控制的有效性。沒有一種測試可以進行，但所有測試都應該在公司更廣泛的安全框架內考慮;

- 當資料控制者成為網路攻擊/勒索軟體的對象時，英國 GDPR 賦予確定該事件是否導致個人資料外洩的責任，且公司必須立即向 ICO 通報個人資料外洩情況，且不晚於發現後 72 小時；

- 一旦發現網路攻擊/勒索軟體，應進行正式的風險評估；和

- 個人資料的備份是降低勒索軟體風險的最重要的控制措施之一。

英國 GDPR 的一個關鍵原則是透過「適當的技術和組織措施」安全地處理個人資料 - 這就是「安全原則」。應用於網路攻擊/勒索軟體場景時，評估穩健的技術和組織措施構成了現代 GDPR 審計的關鍵部分。

因 IT 安全性不足而造成的漏洞將導致受害公司承擔責任。 2020 年，英國航空公司因「安全安排不善」而被罰款 2,000 萬英鎊，該安排使網路犯罪分子有可能竊取約 50 萬客戶的資料。最初提議的罰款為 1.83 億英鎊，僅因對 COVID-19 的同情而減少。預計未來的罰款將會非常大。

• 生物辨識技術

生物特徵數據是指透過與自然人的身體、生理或行為特徵相關的特定技術處理而產生的、允許或確認該自然人的唯一身份的個人數據，例如面部圖像或指紋數據（指紋數據）。

當今世界越來越多地使用生物辨識數據，根據英國 GDPR，它被指定為個人資料的子集，稱為特殊類別資料。英國 GDPR 要求此類個人資料應受到特定保護，因為盜竊或使用這些資料可能會對個人的基本權利和自由造成重大風險。

3CS 如何提供協助

因此，所有公司在按照英國 GDPR 收集、處理和儲存此類資訊時都需要更加小心。審計將有助於確保組織的合規性符合目的。

如需有關 GDPR 審核的更多資訊或有關任何資料隱私或商業法事務的協助，請聯絡您常用的 3CS 聯絡人