《GDPR下监管科技的设计挑战(英文版)(9页).pdf》由会员分享,可在线阅读,更多相关《GDPR下监管科技的设计挑战(英文版)(9页).pdf(9页珍藏版)》请在三个皮匠报告上搜索。
1、GDPR的责任原则要求组织能够证明遵守了法规。对GDPR合规性软件解决方案的调查显示,它们在证明合规性的能力方面存在重大差距。相比之下,RegTech最近在金融合规方面取得了巨大成功,降低了风险,节约了成本,增强了金融监管合规性。研究表明,许多GDPR解决方案缺乏互操作性特征,如标准api、元数据或报表,并且它们没有被公开的方法或证据支持其有效性甚至实用性。使用基于监管机构的自我评估清单探索概念验证原型,以确定RegTech最佳实践是否可以改进GDPR合规性的证明。尽管RegTech可以降低风险和节约成本,但RegTech方法的应用为可证明和验证的GDPR合规性提供了机会。本文论证了RegTe
2、ch的GDPR合规方法可以促进组织履行其责任义务。2018年5月,欧盟(EU)推出了GDPR。这项法规为数据主体带来了高水平的保护,同时也为组织带来了高水平的责任(Buttarelli 2016)。GDPR责任原则要求数据控制员必须能够证明其符合法规(GDPR说明74)。这要求组织“以负责任的方式行事,实施适当的行动,解释和证明行动,向内部和外部利益相关者提供保证和信心,确保组织正在做正确的事情,并纠正未能正确行事的情况”(Felici,2013)。组织可以是复杂的实体,对大量不同的个人数据执行异构处理,可能使用分布在不同地理位置和管辖区的外包合作伙伴或子公司。遵守GDPR的组织责任原则的一个
3、挑战是证明这些复杂的活动和结构正在履行其监管义务。许多组织指定一名数据保护官员(DPO)来协助这一过程。Bamberger将该角色描述为“数据保护制度化最重要的监管选择”(Bamberger,2015)。实际上,DPO是组织内部处理个人数据时不良事件的预警指标(Drewer,2018)。DPO必须具备“专业素质,尤其是数据保护法律和实践方面的专业知识”(GDPR第37条)。这一具有挑战性的角色要求DPO监控合规性并相应地向组织提供建议。DPO独立于组织行事,以评估和监督GDPR法规的一致应用,并确保数据主体的权利和自由不受损害(欧盟宪章第8条)。DPO的作用包括政策制定、员工培训、业务流程规划和审查、合规记录保存、审计、数据保护影响评估和合规咨询等动态活动(Drewer,2018)。