我们不讲解欧盟个人隐私保护法法律条款,讲解的是目前企业最急需解决的问题——技术方面如何解决产品、服务合规这一难题。
【活动时间】6月11日 9:00—17:00结束
【活动地点】上海证大美爵酒店(上海浦东新区迎春路1199号 近芳甸路)
【主 办 方】 SCA联盟
【合作单位】 TKSG
欧盟即将于 2018 年 5 月 25 日全面实施《一般数据保护法案(General Data Protection Regulation, 679/2016, GDPR )》,法案明确要求不论直接或间接识别到个人的资料,都属于个人数据范围,政府或者民间组织,均有义务保护因为业务需要,所搜集、处理、利用的个人数据。
因此,组织必须依法要建立一套系统化的管理机制(例如,引用 BS 10012 个人数据管理体系、ISO 29100 隐私保护框架等),符合 GDPR 条款 5 所要求的个人数据保护原则,一方面展现企业符合法令、法规要求(例如,建立专人专责负责、个人数据盘点、教育训练、沟通、告知等);另一方面,可以有效地落实个人数据保护控制措施(例如,整合 ISO 27001 信息安全管理体系)。
专家解读会特别针对产品开发商,如何使开发的产品,提供符合 GDPR 条款 32 安全处理个人数据(Security of processing) 所建议的安全功能; 对于服务供货商,符合条款 25 设计及预设之数据保护机制 (Data protection by designand by default)的要求等进行介绍。
此次学习的内容将是今后学习欧盟 《一般数据保护法案 (EUGDPR)》的基础,是学习人员想继续成为个人数据管理体系 (PIMS, BS 10012) 规划、部署专家、审核员的基础必修知识。同时,也是成为个人数据保护与管理推动小组成员之必要条件之一。
参加人员,必须具备下列知识:
|
一、了解管理体系共同要求符合性标准 (ISO 19600) |
|
|
管理体系流程 (计划-执行-确认-改善) 与 管理体系框架 |
管理体系对于组织运营风险管理的要求 |
|
管理体系对于高级与一般经理人如何展现领导能力的要求 |
规划管理体系时,必须考虑的项目 |
|
规划管理体系时,必须考虑的项目 |
管理体系需要那些支持、资源? |
|
管理体系日常运维要求、注意事项 |
如何评估管理体系的有效性? |
|
如何改善管理体系的有效性? |
|
|
二、个人数据保护原则 |
|
|
合法、公正、透明地处理 |
仅依据明确、合法目的取得 |
|
依据数据最小量原则,适当的、相关的、有限的 |
正确性与即时更新,尽一切努力,毫不拖延地消除或纠正 |
|
存储形式不超过允许期限 |
组织应透过信息技术或者组织管理机制,确保适当的安全性、完整性与机密性 |
|
三、了解个人数据保护相关法律、规范 |
|
|
《欧盟 一般数据保护法案 (EU GDPR, European General Data Protection Regulation)》 |
|
参加对象:
本次分享建议组织机构中,担任下列职能的人员参加,包括:
任何参与管理体系活动的人员
运营风险管理相关经理人
公司治理、政策制定经理人
咨询、顾问
管理体系代表、审核员
法务与合规人员
学习重要性:
管理体系是组织日常运营活动的一部份,任何参与组织运营活动的内、外部人员,对于国际标准的了解,都有助于组织业务相关活动的推动与提升有效性。
学习目标:
|
本次透过参与式 (participate learning) 学习方法,结合讲解课件、小组讨论、经验交流等活动,培养参加者以下的能力: |
|
1)了解《欧盟一般数据保护法案 (EU GDPR)》的基本框架与精神 |
|
2)了解个人数据管理的主要活动 |
|
3)了解个人数据保护原则 (Personal Data Protection Principles) 与 个人数据管理体系 (PIMS, BS10012) 之间的关系 |
学习获益:
|
1)提升参加学习人员对于《欧盟一般数据保护法案 (EU GDPR)》 的了解。 |
|
2)提升参加学习人员对于个人数据管理活动的了解,协助组织推动相关管理工作。 |
|
3)参加人学习人员了解现行个人数据管理与国际标准之间的差异,持续强化管理能力。 |
专家讲解内容:
|
内容一 欧盟 一般数据保护法案 (EU GDPR) 框架 |
|
|
个人数据的定义 (一般、特别、高风险、例外) |
适用范围、对象 |
|
内容二 欧盟一般数据保护法案 (EU GDPR) 个人数据保护与风险管理原则 |
|
|
合法、公正、透明地处理 (BS 10012:2017 条款 8.2.6) |
仅依据明确、合法目的取得 (BS 10012:2017 条款 8.2.7) |
|
依据数据最小量原则,适切、相关 (BS 10012:2017 条款 8.2.8) |
正确性与即时更新,尽一切努力,毫不拖延地消除或纠正(BS 10012:2017 条款 8.2.9) |
|
存储形式不超过允许期限 (BS 10012:2017 条款 8.2.10) |
组织应透过信息技术或者组织管理机制,确保适当的安全性、完整性与机密性(BS 10012:2017 条款 8.2.11) |
|
内容三 一般企业如何满足欧盟 一般数据保护法案 (EU GDPR) 要求——个人数据管理体系(PIMS, BS 10012) |
|
|
1)个人数据与隐私管理组织 (Organisational requirements) |
组织安排:主要人员与责任 (Data Protection Roles and Responsibilities) |
|
个人数据保护政策内容 (PIMS policy) |
|
|
2)个人数据与隐私管理规划 |
个人数据与流程盘点 (Data inventory and data flow) |
|
个人数据隐私风险评鉴 (PIA, Privacy Impact Assessment) |
|
|
个人数据隐私风险处理 (PRT, Privacy Risk Treatment) |
|
|
从服务、产品设计过程,导入隐私保护功能 (Privacy by Design and Default) 的要求 |
|
|
高风险个人数据保护原则 (High-risk personal information) |
|
|
3)服务商注意事项 |
|
|
安全处理个人数据 (Security of processing) 的要求 |
|
|
4)产品开发商注意事项 |
|
|
设计及预设之数据保护机制 (Data protection by design and by default)的要求 |
|
|
内容四 总结 / 问题提问 / 考试 |
|
|
对全天讲解内容进行总结,回答参加人员的提问。 |
|
|
学习结束后,所有学习人员均可在指定时间内完成针对此次学习情况进行的测试。 |
|
|
注:测试为网络形试考试,学习人员可以自行选择参加,参加测试合格人员,将发放结业证书。(本次专家咨询讲解为英国皇家品质学会 (CQI) / 国际审核员注册协会 (IRCA) 认证培训机构 Hermes infotech Inc. 授权) |
|
有关TKSG介绍
鼎智国际技术服务集团TechKnowledge Services Group Inc. (简称“TKSG”),亚洲总部位于台北,TKSG 服务的客户目前涵盖全球 28 个国家,主要提供下列服务:
-
国际标准相关的能力培训与人员认证
-
IT 产品安全技术的实验室检测与评估
-
IT 产品或服务认证辅导与咨询
TKSG 是英国皇家品质学会 (The Chartered Quality Institute, CQI) 与 国际审核员注册协会 (International Register of Certificated Auditors, IRCA) 认证的国际培训训练机构 (Accredited Training Partner, ATP),提供的咨询内容涵盖,但不限于下列标准与规范:
-
国际标准,例如 ISO 9001、27001、20000-1、22301、13485、14001, 22000、17025、15408(CC)、61508 、EN50600-x…等;
-
国家标准,例如 英国 BS10012
-
规范、产业要求,例如 欧盟隐私权保护规范(EU GDPR)、物联网安全规范(IoT Protection Profile)
TKSG是德国国家信息安全技术检测实验室 (TUV Informationstechnik GmbH, TUViT) 全球技术服务合作伙伴,提供IT产品的信息安全技术相关检测、评估、咨询与认证等服务:
-
国际信息产品安全技术认证ISO/IEC 15408 (CC)
-
欧盟隐私权标章认证 Europe Privacy Seal
-
数据中心认证Data Centre Certification – TSI
-
物联网产品安全认证IoTSecurity
更多的服务内容请参考:www.CERT.Global
中国境内请联系SCA联盟:www.smart-alliance.com
Email: contact@smart-alliance.com
参与费用:
-
SCA联盟成员参加学习,享受费用优惠;
-
收费活动,其它单位、机构参加学习,费用请与主办方联系。
报名联系:
联系人:杨小姐
联系电话:021-51099961
EMAIL: Jessica.yang@smart-alliance.com
