煮酒言规
///////////////
数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
欢迎体验数据何规AI客服,可用特定关键词搜索历史Q&A,下面1.-5.的每一期都有审计底稿出境的讨论,太准啦!
• CONTENT •
「员工机票代订数据处理关系」
「QTS Global是碰瓷机构吗」
「个人信息保护负责人数量门槛」
-问:请教下这个工业和信息化领域(的范围)怎么理解?
-答1:工业数据、电信数据、无线电数据。
-答2:看原文,还可以从编制单位里理解。行业组织对应的行业都在内。
工业企业、 软件和信息技术服务企业、 电信和互联网企业,以及无线电频率、台(站)使用单位等工业和信息化领域各类主体。
-答3:像Nike这种零售行业,其实不在适用范围里咯?
-答5:排除掉国家局(烟草除外)管理的工业类型,如铁路、民航、能源、邮政,其他应该都在范围内。上面图片分类有点问题,类似于工信部指相对狭义工业(能源交通等除外)和信息通信业,这里的轻工业口径排除了纺织之类的,但是实际上工业分类里轻工就是生产消费资料的,跟上面一级标题一个意思
-答6:nike算纺织业,轻工业是如下内容:
制浆造纸、自行车、缝制机械、钟表、陶瓷、玻璃、搪瓷、电光源及照明电器、电池、日用化学制品(洗涤用品、化妆品、口腔清洁及护理用品和表面活性剂等精细化工产品等)、制盐、食品及饮料、皮革皮毛及其制品、家具、文教体育用品、眼镜、工艺美术品、塑料制品、五金制品、家用电器、羽绒及其制品、制笔、乐器、文房四宝、少数民族用品、衡器、日用杂品、玩具、礼仪休闲用品、室内装饰、轻工装备等。
总结:门道好多,学习!
-问:请教下公司购买携程机酒代订服务,提供员工必要信息给携程。携程继而会为订机酒之目的把员工信息提供给机酒。前者我理解构成委托处理关系,后者似乎是独立的个人信息处理者的关系?但问题是携程和机酒间似乎不会额外签署数据保护的协议?(航司基本也不会签应该) 这是不是有concern啊?
-答1:公司把员工信息提供给携程订机票/酒店(个人认为是对外提供,因为业务目的完成后携程应该很难履行删除/匿名化/返还个人信息的义务)
携程再把员工信息提供给航司/酒店,属于供应链合规,从实务来看一般双方都是有框架合同,会包含关于个人信息的保密性条款。
从公司角度,跟携程开展个人信息保护约定(建议同步向员工开展告知同意);针对下游的航司/酒店,公司可以要求携程做好个人信息安全保障(是否能要求携程提供与下游供应链的个人信息保护约定,实操上会有困难),在告知员工时考虑同步告知其信息会提供给航司/酒店。
-答2:理解都是对外提供,可以看看携程去哪儿企业版的隐私政策。也可以把商旅模块嵌入OA,让员工自己填写提供给携程即可。
总结:如果是公司提供,员工不是合同当事方,确实还用不了履行合同确需。
-问:请教大家个问题,有人了解QTS Global这个公司么,他们是不是经常给公司发邮件,说公司的数据保护存在问题。他们还免费offer进行合规审计和咨询。
-答1:每次邮件还都是一个模版,醉了。
-答2:是的,有客户曾经被吓到过找过来了。
总结:碰瓷的,别管。
-问:想要问一下《个保法》52条所称的“处理个人信息达到CAC规定数量需要设立数据保护负责人”这里的数量是多少大家知道么?
-答1:网信办没发文有要求。很多企业现在选择形式合规
-答2:国标35273里的供参考 关基和重要数据处理者按现有要求。
c) 满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作;
1) 主要业务涉及个人信息处理,且从业人员规模大于200人;
2) 处理超过 100万人的个人信息,或预计在 12 个月内处理超过100万人的个人信息;
3) 处理超过 10 万人的个人敏感信息的。
《个人信息安全规范》
(一)核心业务信息系统网络安全保护等级具备三级或者三级以上安全保护能力;
(二)设立信息安全负责人和个人信息保护负责人,由公司章程规定的高级管理人员担任;
(三)设立专职部门,负责信息安全和个人信息保护工作,定期检查征信业务、系统安全、个人信息保护制度措施执行情况。
总结:可以先等等,但如果已经定了发个文也不碍事。检查被列为事实确认内容就有动力了。
• END •
关注小号防失联