資料保護審計確保合規性

自 2018 年 5 月起，處理個人資料的公司（這類公司數量眾多）必須做好承擔巨額罰款的準備。資料外洩的處罰可能非常嚴重。如果公司未能完全遵守新的 GDPR 要求，情況更是如此。此外，新版《德國聯邦資料保護法》（ BDSG補充並證實了 GDPR然而，在這裡，不確定性無所不在：

• 究竟什麼是「個人資料」？
• 根據 GDPR，我們是否屬於「責任實體」？
• 誰是「資料主體」？
• 「個人資料自動化處理」究竟是什麼意思？
• 我們需要任命資料保護官嗎？

必須採取哪些措施

需要解決的資料保護合規性問題清單很長。

誠然，法規中使用的術語定義可以在常見問題解答清單中找到。然而，這並不一定能保證具體公司能夠完全理解這些術語的含義。最遲在員工落實並履行必要（因為是強制性的）措施和職責之前，就必須有針對此類問題的正確答案，例如：

• 什麼是「技術組織措施」？
• 什麼時候需要它們？
• 那麼「比例性」呢？
• GDPR 要求的眾多“控制措施”，例如“訪問或披露控制”，又該如何落實呢？
• 如何確保資料保護合規性？

資料保護與資訊安全

總之，受影響公司應採取的正確措施是建立一個有效的…資料保護管理系統- 根據其特定需求量身定制，如有必要，可考慮獲得認可認證。

這裡常被混淆的是：資料保護和資訊安全就像兩雙鞋，即使有重疊之處（例如，各種控制措施）。例如，擁有完全符合以下規定的綜合資訊安全管理系統 (ISMS) 的公司ISO 27001在一定程度上涵蓋資料保護主題。

但即便如此，仍存在一些差距，無論是否採用資訊安全管理系統（ISMS），都可以透過以下方式發現並彌補這些差距：差距分析。

2019年8月，與ISO 27701一項新的標準已發布，該標準規定了資訊安全管理中資料保護的要求。 ISO 27701 規定了基於 ISO 27001、ISO 27002（資訊安全措施指南）和 ISO 29100（資料保護架構）的資料保護管理系統。 ISO 27701 是 ISO 27001 的補充標準。僅憑新標準無法獲得認證。

資料保護合規性—優勢

您收到

• 關於行動區域的可靠信息
• 關於隱藏潛力的知識
• 採取適當措施後，資料處理方面的行動安全性和法律確定性將會提高。

為了安全起見－透過DQS進行資料保護審計

因此，力求在資料保護方面合規的公司應該做兩件事：盡快讓自身或合規官熟悉相關主題，並由獨立機構（例如…）確定現狀。 DQS以差距分析的形式。

此類資料保護審計的重點在於透過文件審查進行自我評估。隨後，審計人員會對公司進行現場檢查，以確定是否符合基本的資料保護要求。最終報告會指出是否需要採取行動，如果需要，則會說明需要採取哪些行動。