电子档案
第 7 卷
2019 年
6 月刊
标准论坛
第 7 卷 - 2019 年 6 月刊
个人信息管理与每个人息息相关
Paul Huyton
一提到“PIMS”,大多数人会想到温布尔登网球锦标赛等赛事上供应的夏季饮料。但是它也是对于各行各业而言都很重要的一个缩略词。个人信息管理系统(PIMS)是信息技术时代必不可少的一种新型管理系统。为了确保在管理这些系统的过程中保持质量和一致性,已经编写了相关的标准。
民众大都意识到保护自己个人信息的必要性。不慎泄露个人信息可产生的后果由身份窃取、财务损失或者来自他人的侵扰性、妨害性接触。但是,持有个人信息的任何组织都有法律义务对信息进行适当的管理。这一义务适用于所有个人信息、客户、员工和供应商,因此,所有组织需要评估规定如何适用于它们。
业务经理(尤其是在欧盟地区)要熟悉GDPR,即通用数据保护条例(General Data Protection Regulation)。这一条例旨在强制实施保护个人和组织的数据保护级别。这是一项以法律用语制定的冗长规定,具有广泛和一般参考意义。但为了能够应用良好的数据管理,文字越简洁、内容越详细的标准就越有用。BS 10012个人信息管理系统就是这种标准。该标准的有效段落简述如下。
4.组织背景
ISO 9001或AS 9100标准的用户熟悉对组织背景的定义。在此情况下,它将定义“利益相关方”和有关个人信息的系统范围。
5.领导力与员工参与
组织的管理人员必须参与PIMS的规划和监测。他们必须确保以合法方式收集和存储信息,并确保将这些要求传达给组织内的工作人员。管理者必须监测系统的性能,并确保取得必要的成果。
6.规划
规划必须取得必要的成果并最大限度降低第4部分所述的风险。规划应该确认PIMS范围内有哪些流程,哪些部门负责实施,哪些人会收到或者有权限访问个人信息。必须明确地了解谁是数据控制者、谁是数据处理者,GDPR中定义了这些术语。
7.资源
任何管理系统都需要得到充足的资源,而且新的要求不能始终为现有的工作人员所理解。至少还需要提供有关个人数据管理以及有关规例意识的培训。应制定程序确保对人员的能力进行评估,并确保通过培训和从经验中所得的知识保留在组织内。
8.运作
应在高层管理人员中任命一名数据保护官(DPO)和代表,负责数据保护事务。
该部分列出了PIMS的所有文件要求。
9.性能评估
为了贯彻计划—执行—检查—行动原则,必须对PIMS的性能进行检查和评估。评估将带来改变,从而持续改进数据保护。评估包括对PIMS的内部审核。
10.改进
每一种管理系统必须寻求进一步改进,以更好地满足规定的要求,并跟上不断变化的业务环境。PIMS必须能够进行变更管理,而且应该向内部或外部审查人员提供此类变更的证据。
这种对标准的简要描述概括了管理个人信息时所采取的方法。所有组织需要根据规定确立自己的责任,大部分将需要落实一种完善的个人信息管理系统。
如有疑问,请联系: paul@mfn.li
标准论坛
作者:Paul Huyton,MFN全球课程导师
更多信息,请参见 www.mfn.li/cn/trainers