GDPR下監管科技的設計挑戰（英文版）（9頁）.pdf

1、GDPR的責任原則要求組織能夠證明遵守了法規。對GDPR合規性軟件解決方案的調查顯示，它們在證明合規性的能力方面存在重大差距。相比之下，RegTech最近在金融合規方面取得了巨大成功，降低了風險，節約了成本，增強了金融監管合規性。研究表明，許多GDPR解決方案缺乏互操作性特征，如標準api、元數據或報表，并且它們沒有被公開的方法或證據支持其有效性甚至實用性。使用基于監管機構的自我評估清單探索概念驗證原型，以確定RegTech最佳實踐是否可以改進GDPR合規性的證明。盡管RegTech可以降低風險和節約成本，但RegTech方法的應用為可證明和驗證的GDPR合規性提供了機會。本文論證了RegTe

2、ch的GDPR合規方法可以促進組織履行其責任義務。2018年5月，歐盟(EU)推出了GDPR。這項法規為數據主體帶來了高水平的保護，同時也為組織帶來了高水平的責任(Buttarelli 2016)。GDPR責任原則要求數據控制員必須能夠證明其符合法規(GDPR說明74)。這要求組織“以負責任的方式行事，實施適當的行動，解釋和證明行動，向內部和外部利益相關者提供保證和信心，確保組織正在做正確的事情，并糾正未能正確行事的情況”(Felici，2013)。組織可以是復雜的實體，對大量不同的個人數據執行異構處理，可能使用分布在不同地理位置和管轄區的外包合作伙伴或子公司。遵守GDPR的組織責任原則的一個

3、挑戰是證明這些復雜的活動和結構正在履行其監管義務。許多組織指定一名數據保護官員(DPO)來協助這一過程。Bamberger將該角色描述為“數據保護制度化最重要的監管選擇”(Bamberger，2015)。實際上，DPO是組織內部處理個人數據時不良事件的預警指標(Drewer，2018)。DPO必須具備“專業素質，尤其是數據保護法律和實踐方面的專業知識”(GDPR第37條)。這一具有挑戰性的角色要求DPO監控合規性并相應地向組織提供建議。DPO獨立于組織行事，以評估和監督GDPR法規的一致應用，并確保數據主體的權利和自由不受損害(歐盟憲章第8條)。DPO的作用包括政策制定、員工培訓、業務流程規劃和審查、合規記錄保存、審計、數據保護影響評估和合規咨詢等動態活動(Drewer，2018)。