数据隐私101:企业应该了解哪些系统注册

2019-05-22 04:15:06 陆颃 26
发布于2018年7月30日上午8点
更新时间为2018年7月30日上午8点

我们生活在一个个人数据非常有价值的时代,现在许多商业模式和经济实际上是围绕其收集和使用而建立的。 为了防止或至少阻止滥用,政府制定了旨在规范这种现象的法律。 菲律宾有第10173号共和国法案或2012年数据隐私法案(DPA),国家隐私委员会(NPC)负责监督其正确实施。

对许多人来说,理解法律的许多规定并将DPA合规性转化为组织的日常运作是一项艰巨但必要的任务。

为了解决这个问题,我们直接找到了消息来源,并签了两位专家--Jate Jacob,Ateneo de Manila大学的数据保护官和NPC隐私政策办公室的前负责人; 和全国人大政策与规划副私隐专员常春藤帕图。

从两个有利位置可以看出,这两个文章将起到一系列文章的作用,这些文章涉及法律的各种合规要素,并以FAQ形式呈现。 在本期中,他们谈论了NPC的数据处理系统注册平台。

问:注册系统的原因是什么?

常春藤: 数据处理系统的注册是NPC的合规要求之一。 它与欧盟(EU)数据保护指令的“通知”要求相对应,后者已被“通用数据保护法规”(GDPR)取代。

NPC根据其合规监督职能实施的战略保留了这一要求。 它认为该系统是管理和实施DPA的一种手段,特别是在提高个人数据处理的透明度和公共责任方面。

对于注册实体,它是对其个人数据处理活动的确认,以及为任何与数据隐私相关的事项提供其联系信息的方法。 它还表明了他们遵守法律的承诺,并提供了与全国人大更好地接触的场所。

认为应该将其视为合规旅程的一部分,因为它允许个人信息控制器(PIC)和个人信息处理者(PIP)遵守维护其处理活动记录的要求,并为其风险提供初步基础评估活动。

将来,全国人大可以维持一个受合理公众访问的注册机构。 这对那些可能对大公司,特别是那些跨境经营的公司有所顾虑的人有所帮助。

问:您如何看待此合规性要求?

Jam: 我认为它已经失去了理想的数据保护监管框架。 欧盟可以说是今天最成熟的数据保护制度,但随着GDPR的颁布,它在2016年更新了其法律制度时并没有保留这一要求。 这应该说很多。

最好的情况是,它为数据保护机构提供了一个基线,在该基线上它可以开始评估或调查特定公司。 如果公众可以访问注册表,该系统也适用于数据保护法所支持的透明度原则。 有了这个,考虑到公司将不得不花费在这样的系统上履行其义务的努力,我只是没有看到公平的权衡。

与此同时,我希望NPC的参考资料和其他资源即将发布,因为仍然有很多事项需要澄清这种合规要求。

问:您想要解决的系统有哪些常见问题?

Ivy: 一个常见的问题是如何解释“数据处理系统”。例如,是否要注册每个进程是否存在歧义,是否包括诸如在日志中的共管公寓大厅中注册客人的系统,或者是否将数据存储在一个数据服务器中是否合格为一个系统。

建议组织在一个系统下将相关流程组合在一起以进行注册。 可以考虑的因素包括它们具有共同或相关的目的,具有相同的系统输入或输出,以及使用共同系统的类似过程。

例如,人力资源部门可以根据其战略职能定义系统,例如招聘和人员配置数据处理系统,绩效管理数据处理系统或培训和开发数据处理系统。 当流程组合在一起时,组织应准备好证明或显示流程之间的关系。

问:如果公司没有注册,会发生什么?

常春藤: NPC可以发布合规订单,并提交法院程序以要求合规。 同时,未注册是确定要进行合规性检查的组织的考虑因素之一。 考虑到正当程序的考虑和适当的调查,委员会可以发布停止处理命令和其他执法行动。

有了这个,组织应该注意注册只是合规的一个方面。 它不会豁免任何人进行调查,也不会保护PIC或PIP免受违规。 因此,组织最好将隐私和数据保护措施的优先级嵌入日常运营中。

问:实施过程中遇到的一些问题或挑战是什么?

常春藤:其中一个挑战可能是对个体专业人员进行注册的要求,特别是医生的注册。 由于一些医生不确定是否需要注册,因此存在很多混淆。 目前,医生占全国人大注册人数的三分之一左右。 注册应该在各个部门之间分配更均匀。

提交纸质登记表也是一项挑战。 在离线完成注册的情况下,表格必须单独编码,这需要人力和预算成本。 对于早期注册人,NPC接受了纸质表格的提交,以避免给那些选择不使用在线平台的人带来不应有的负担。

Jam:根据我们组织的经验以及我在这方面提供帮助的经验,系统存在很多问题。 我只想说出四个:

  • 识别系统 挑选出有资格作为需要注册的数据处理系统的流程是困难的,特别是对于大型组织和/或复杂系统。 一个组织可以拥有数百个单位或办公室,每个单位或办公室都必须拥有自己的一套“系统”。

    你注册了哪些? 那些维护类似系统的人(例如,活动注册系统)怎么样? 有时,多个单位或办公室使用系统。 有时,系统构成更大的系统的一部分或连接到更大的系统。 如果正在使用程序,软件或应用程序,人们通常会认为这是需要注册的系统。 情况并非总是如此。

  • 在线注册系统中的技术故障 我们遇到了很多技术难题。 有几次,在输入特定系统的所有条目后,我们稍后会发现没有保存或记录任何内容。 激活也需要一段时间。 我们提供的链接存在问题。 原来它已经过期了。

  • 推出在线平台 在线注册系统在全国人大设定的截止日期前几周发布,为组织提供了一个非常狭窄的窗口。 显然,这对于拥有更多系统注册的大公司来说是不公平的。

  • 个人登记 我只想说,我不认为法律的意图是涵盖处理个人数据的个人。 如果要坚持这一点,那么应该有一份全面的指南,因为在这方面有很多问题需要等待回答。

问:对于那些注册数据处理系统的人,您有什么建议吗?

Jam:在全国人大的进一步指导下,我建议组织尽早决定如何解释“数据处理系统”的定义。使用这种解释,他们应该对所有现有的内容进行快速的内部调查/研究。系统,从简单到复杂。

确保NPC在其在线注册平台所需的所有信息非常重要。 然后他们应该注册。 只要不打算进行欺诈,他们一开始不应该害怕弄错。 无论如何,随后修改一个人的注册信息是允许的。

关键是要表明你愿意通过真正的努力来遵守。 完成此初始但重要的步骤后,对您的组织执行全面的隐私影响评估(PIA)。 这需要相当长的时间,特别是如果您是一个大型组织,但只有适当的企业级PIA才能提供符合此注册要求所需的准确信息。

问:你如何看待这个系统向前发展?

常春藤:人们承认,其他国家的趋势是放弃通知(注册)要求。 这可能是因为 (DPO)的作用越来越重要,以及注册要求只是行政负担的观点。

在许多方面,DPO被视为解决数据处理中透明度和公共责任的需要。 在菲律宾,DPO是指定确保组织遵守DPA的人员。 内部和外部利益相关者都应该可以访问它们。 这可能会在未来由NPC进行探讨。

如果注册系统继续存在,NPC面临的挑战是能够将注册要求的重点限制在关键的少数几个 - 那些为其核心活动进行大规模处理活动的公司和企业,以及那些具有复杂数据处理的公司和企业系统。 除此之外,如果系统具有可持续性,则该系统必须具有成本效益和风险。

Jam: 也许 是因为我承认对这个问题的偏见,我认为注册系统不会持续很长时间。 迟早,我们将会欣赏欧盟从其注册系统近二十年的经验中学到的东西。 今天,那里的监管机构似乎认为组织应该更多地关注制定内部数据保护措施。

这就是他们应该把注意力和资源放在哪里。 我同意。 透明度可以通过许多其他方式实现,数据保护机构可以简单地向组织询问基准数据,以及它何时以及何时对该特定组织进行检查或调查。

我还要提一下,退役系统也将为全国人大腾出宝贵的资源。 监控必然是一项耗时的任务,而且开展成本很高。 有了这个,这个系统的消亡实际上对所有相关人员来说都是双赢的。 - Rappler.com

Ivy Patdu是国家隐私委员会的成员,他是负责政策和规划的副隐私专员。 她还是电子健康隐私专家组的成员,也是Ateneo de Manila法学院和San Beda Law of Law-Alabang的教员。 自2011年以来,她一直致力于数据隐私。

Jam Jacob(@jamjacob)是Ateneo de Manila大学的数据保护官。 他还是民间社会组织媒体替代基金会隐私和监督计划的协调员,并且是政府和私营部门几个组织的顾问。 他曾担任国家隐私委员会隐私政策办公室主任,自2011年以来一直致力于数据隐私。

这里的个人陈述不是其各自隶属关系的官方立场。