原创数据合规业委会 瀛泰律师事务所 2021-09-27 18:37收录于话题#数据合规业务委员会12个内容 一、不定期组织专业人士为国企中高层领导和一线直接接触数据业务的员工培训《网安法》、《数据安全法》、《个保法》及其他相关法律实务。明确国家标准所确定国有企业和国企“一把手”应当承担的义务边界,及不履行法定义务将承担的法律责任,包括刑事责任、行政责任和民事责任,树立全面数据合规理念,构建自身数据治理的策略。相应培训建议根据具体条件可以制作成影音或文本记录。培训记录除了便于反复学习之外,其本身也是数据合规的一环,在应对企业调查和审核时亦可以用来佐证企业的数据合规体系。 二、基于数据全生命周期管理的角度,针对企业内部数据的收集、存储、使用、加工、传输、调取及应第三方要求公开流程等进行数据核查。可以聘请外聘专家在跨境数据传输、合同审查、产品服务、隐私监管审查、尽职调查等方面辅助数据核查,以了解企业数据处理现状、识别风险。 三、确定数据分级制度,通过制度确定数据的敏感等级,并根据该等敏感等级配套以相应的准许接触的员工职务级别及权限,保密等级,以及脱敏流程。 四、结合企业实际情况建立数据合规规则,制定并完善与之相关的制度,包括绩效考核制度和流程。 五、将数据安全及合规的内容逐步纳入员工手册中,并及时开展员工培训,使每一员工,特别是国企一线员工,充分认识、了解数据合规之必要性与重要性。同时建立必要的奖惩制度,将数据保护制度的要求,贯彻落实到业务流程的每一个环节中。对于直接接触或管理数据的员工,还要将相关权利义务纳入到劳动合同中。对于多次故意违反数据安全但尚未造成严重后果的员工,要及时转职,甚至辞退,以避免造成更严重的损害后果。 六、在数据合规制度初步搭建后,为保证已制定的制度和流程能被正确执行,企业可以聘请外部专家包括合规律师、注册个人信息保护专员等,持续追踪数据保护合规制度的实施情况,并根据内部对接员工的制度成效实时反馈不断改善企业数据合规机制。 |
|
来自: 新用户17325722 > 《待分类》