遵循法規為共同責任

Epicor 致力維護自身及客戶的資料安全與私隱權利,並將在一般資料保護條例 (GDPR) 生效後全面遵照相關規定。Epicor 遵照 GDPR 經營業務有助確保客戶符合 GDPR 相關規定,然而,遵循法規是 Epicor 與客戶的共同責任。

Epicor 致力協助客戶滿足 GDPR 的要求,並將持續推出改善措施,務求為公司本身及客戶遵循法規提供有力支援。

Epicor 如何提供協助
下載 GDPR

甚麼是 GDPR?

了解 GDPR 的基本知識

一般資料保護條例 (GDPR) 是一個全新的法律框架,取代了原有的歐盟資料保護規範,並於 2018 年 5 月 25 日開始生效。GDPR 的目標是透過監管組織機構管理及保護歐盟地區居民之個人資料的方式,進一步保護歐盟個人的私隱權利,不論該等個人資料從何處收集、傳輸至何處、在何處儲存及處理,皆能提供保護。 

GDPR 較之現有法律改變甚多,影響到歐盟人士個人資料的處理方式,並且可能影響到許多全球化企業的每一個部門。此條例預計將適用於任何自行處理或代人處理歐盟人士個人資料的組織機構,以及可能為組織機構處理歐盟人士個人資料的供應商和其他第三方。

GDPR 提供甚麼?

GDPR 賦予個人對其個人資料的部分權利及控制能力。GDRP 亦要求組織機構在使用個人資料方面做到透明,並針對個人資料的保護方式制訂了安全措施及其他控制措施。

誰受 GDPR 影響?

GDPR 制訂的要求可能適用於任何處理歐盟人士個人資料的組織機構。這些要求亦可能適用於組織機構委託其處理個人資料的第三方和其他供應商。

GDPR 會否影響歐盟地區以外的組織機構?

GDPR 在歐盟邊界以外同樣適用。此條例可能適用於任何收集、接收、處理或儲存歐盟人士個人資料的組織機構,而不論其所在地為何。此條例或涉及任何歐盟地區以外收集或接收歐盟人士個人資料的組織機構。

GDPR 的關鍵原則是?

GDPR 旨在強化現有的個人權利、引入新的權利,以及賦予歐盟人士對其個人資料的更大控制權。GDPR 的基本原則為:

  • 要求對處理及使用個人資料保持一定透明度
  • 將個人資料之處理限制於指定合法用途
  • 將個人資料收集及儲存限制於預期目的
  • 讓個別人士可在部分情況下提出要求:存取、更正、刪除(被遺忘權)、傳輸個人資料至第三方、限制或反對處理其個人資料
  • 確保個人資料受適當安全措施的保護
  • 限制個人資料儲存期限至預期目的所需之必要時長

GDPR 的原則對我的企業有何影響?

歐盟人士有權知道其個人資料是否被處理、使用、分享及儲存與此等處理、使用、分享及儲存的方式,以及其他相關資訊。他們亦享有許多其他個人權利,例如獲授予其個人資料的存取權限。回應該等要求時,必須以清晰易懂的方式向該等人士提供資料。

此外,他們也有權更正或刪除其個人資料。若個別人士不再希望其資料被處理,且組織機構並無其他保存資料的合法依據,則該等資料必須清除。

GDPR 亦規定歐盟人士在其個人資料遭到侵害時享有知情權。GDPR 要求組織機構向個人作出高風險資料侵害行為的通知,並通報相關的資料保護部門。

GDPR 定義

GDPR 採用了若干個不為人所熟悉或略為含糊的詞彙。我們嘗試將其簡化如下。

個人資料:個人資料乃 GDPR 的重點,而其定義相當廣泛。個人資料的例子包括:姓名、電郵地址、電話號碼、實際地址、裝置識別碼(如 IP 位址)、地理位置資料、健康資料、財務資料、年齡、出生日期等。儘管如個人姓名或電郵地址等資料或許可以透過公開搜尋或其他公開紀錄存取得到,在 GDPR 規定下仍可能被視為須得到保護的個人資料。對於與某人或其裝置相關的資料是否屬於個人資料存疑的組織機構,一般會假設其為個人資料。

控制者:控制者是決定如何及因何用途收集、使用、處理、披露及維護個人資料的組織機構。例如:當一間公司直接從個人處收集個人資料,或從代表其收集的第三方接收個人資料,那麼該公司一般為控制者。

處理:處理是指針對個人資料進行的操作,不論其是否透過自動化方式進行。這包括收集、記錄、整理、編整、儲存、修改或變更、檢索、諮詢、使用、經由傳輸披露、傳播或以其他方式提供、結合或組合、限制、清除或銷毀個人資料。幾乎對個人資料進行的所有操作均可視為處理。

處理者:處理者是指僅僅代表控制者且依照控制者指示處理(如:收集、儲存、使用或披露)個人資料的組織機構。

關於 GDPR,我需要考慮甚麼?

當要確保符合 GDPR 要求時,您的系統和軟件都是重要的考慮事項,並應採納為全組織可靠 GDPR 合規方針的一部分。符合 GDPR 要求大多與處理有關,因此組織機構應考慮下列事項:

  • 識別您擁有的個人資料及其儲存位置
  • 針對個人資料存取及使用的方式,採用行之有效的監管措施
  • 制定適當的安全控制措施,以預防、偵測及回應資料侵害行為及安全漏洞
  • 回應個人行使資料保護權利的要求(例如:向個人提供個人資料副本的要求)
  • 保留及維護合規文件,包括處理活動紀錄和對個別人士要求之回應
  • 及時依法匯報任何資料侵害行為

Epicor 為我的組織提供甚麼來協助符合 GDPR 要求?

Epicor 致力維護自身與世界各地客戶的資料安全與私隱。類似於其他現有的法律及條例要求,Epicor 認真嚴肅地看待其資料控制者及資料處理者的角色。

遵循 GDPR 法規為 Epicor 與客戶的共同責任。Epicor 的產品及服務處理個人資料時,可以幫您滿足 GDPR 合規要求。舉個例子,我們的產品及服務設有特定功能,有助滿足個人權利要求。包括 Epicor 寄存解決方案在內的產品及服務,都有安全措施及存取控制。組織機構可以採用 Epicor 產品及服務的功能與程序,協助其滿足 GDPR 合規責任。

Epicor 更進一步承諾協助客戶滿足適用於其業務的各類要求,包括 GDPR。因此,Epicor 將持續關注相關法律及最佳實踐方式之變更,藉此強化我們的產品、合約及文件,從而為客戶提供有力支援,助其滿足包括 GDPR 在內的法律責任合規要求。