PRODUCTS

產品服務

針對歐盟個資法GDPR,Netwrix如何協助合規檢查?

運用Netwrix,你可瞭解企業組織已符合哪些GDPR的具體合規要求。 達成合規要求可能涉及多方面向,如:確保存放敏感資料的伺服器,即時檢測其實體安全,到迅速地報告違規行為。由於這些要求非常廣泛,因此您很可能無法找到滿足所有合規性要求的GDPR軟體或資料管理解決方案。 因此,在選擇GDPR解決方案時,您需要了解它可以解決哪些GDPR要求以及它如何滿足您的需求。 另外,如何長期間存放稽核資料及確保資料內容不能被竄改,也是選擇記錄稽核系統的重要條件。Netwrix的產品設計及功能可符合高規格合規要求,因此也獲得眾多國際知名企業集團的採用。

根據您的IT系統配置、內部程序、業務性質和其他因素,Netwrix Auditor還可能有助於遵守下表未列出的GDPR規定。Netwrix Auditor平台提供任何GDPR合規性軟體所必需的功能,幫助您落實GDPR的合規計劃。它使您能夠輕鬆識別出內網中哪裡存放GDPR所監管的相關資料、誰擁有這些資料的存取權限以及如何使用活動記錄,以及密切關注異常的資料存取活動,以便您輕鬆實現並證明您的遵守資料安全規範而進行嚴格的監看措施。



Netwrix Auditor為企業內部所部署的應用系統提供可視性,幫助您建立正確的IT安全控制,並驗證這些控制措施是否符合歐盟個資法GDPR的以下特定條款:

符合GDPR條款的相關中文內容

第二章 原則

第五條 個人資料處理原則
  • § 1 (f) 處理應以確保個人資料適當安全性之方式為之,包括使用適當之技術上或組織上之措施,以防止未經授權或非法處理,並防止意外遺失、破壞或損壞(「完整性和保密性」)。
  • § 2 控管者應遵守並就其符合第1 項規定負舉證責任(「責任」)

第三章 資料主體之權利

第十五條 資料主體之接近使用權
  • § 1 (b) 資料主體有權向控管者確認其個人資料是否正被處理,於此情形者,資料主體應有權接近使用其個人資料及下列資訊:(b) 個人資料所涉及之類型。

第十六條 更正權

第十七條 刪除權(「被遺忘權」)
  • § 1 有下列情事者,資料主體應有權使控管者刪除其個人資料,不得無故拖延,且控管者應有義務刪除該個人資料,不得無故拖延。
第二十條 資料可攜性權利
  • § 1資料主體應有權以有結構的、通常使用的、機器可讀的形式,接收其提供予控管者之資料,並有權將之傳輸給其他控管者,而不受其提供個人資料之控管者之妨礙。

第四章 控管者及處理者

第二十四條 控管者之責任
  • § 1 考量到處理之性質、範圍、內容及目的以及當事人之權利及自由所受之諸多可能且嚴重之風險,控管者應實施適當科技化且有組織的措施以確保並得證明其處理符合本規則規定。該等措施應得予審視,且必要時應予更新。
第二十五條 設計及預設之資料保護
  • § 1 考量到現有技術、執行成本以及處理之性質、範圍、內容及目的以及處理對當事人之權利及自由所生諸多可能且嚴重之風險,不問係在決定處理方式時或係在處理中,控管者均應實施適當之科技化且有組織的措施,例如假名化,且該等措施旨在實現資料保護原則,如資料最少蒐集原則,並採取有效方式且將必要保護措施納入處理程序,以符合本規則之要求並保護資料主體之權利。
  • § 2 控管者應實施適當之科技化且有組織的措施,以確保在預設情況下,僅處理一特定目的且必要限度範圍內之個人資料。該義務適用於所蒐集之個人資料之數量、處理之程度、儲存之期間及其可接近使用性。尤其是,該等措施於預設情況下,應確保個人資料不能經由人為干預而遭不特定人之接近使用。
第三十二條 處理之安全
  • § 1 考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險變動之可能性與嚴重性,控管者及處理者應執行採取適當之科技化且有組織的措施,以確保對於風險之適當安全程度,包括但不限於適當之如下事項: (b) 確保處理系統及服務持續之機密性、完整性、可用性及彈性之能力 (c) 在物理性或技術性事件中及時回復個人資料可用性及可接近性之能力 (d) 定期測試,評估並衡量確保處理安全性之科技化且有組織之措施之有效性
  • § 2 於衡量適當之安全程度時,尤其應考量因處理而造成之風險,特別是來自意外或非法破壞、損失、改變、未獲授權之揭露、或經傳輸、儲存或其他處理之個人資料之接近權。
  • § 4 控管者及處理者應採取行動,確保任何受該取得個人資料之控管者或處理者指揮之個人不得為指示外之處理,但其受歐盟法或會員國法要求而為之者,不在此限。
第三十三條 向監管機關進行個人資料侵害之通報
  • § 1 於個人資料侵害發生時,控管者即應依第55條向監管機關通報,不得無故遲延,且如可能,應於發現後72小時內通報,但個人資料侵害無造成對當事人權利及自由之風險時,不在此限。於未於72小時內向監管機關通報之情形,通報應附遲延之理由。
  • § 3 (a) 第1項之通報至少應:描述個人資料侵害之本質,如有可能,應包括相關資料主體之類型及大致數量,及相關個人資料紀錄之類型及大致數量。
第三十四條 向資料主體為個人資料侵害之溝通
  • § 1 於個人資料侵害可能導致當事人權利及自由之高風險時,控管者應與資料主體溝通個人資料侵害,不得無故遲延。