政策與議題
個資隱私議題:【英國個人資料保護政策】-GDPR專案計畫小組
我們如何共同為歐盟《一般資料保護規則》之施行作準備?
《一般資料保護規則》(General Data Protection Regulation,又稱為GDPR),為歐盟新通過的、用以促進各地用戶資訊之收集、使用、分享以及儲存透明及流通性的一部法律。
而GDS(Government Digital Service, 英國內閣辦公室下的政府數位服務團,專責推動政府網站轉型,協助各機關在英國政府入口網上,打造簡單便捷的服務,讓民眾可以方便與政府單位「互動」)一直將使用者之需求置於核心目標,也因此於我們所提供的服務中將可能因應新規範作出巨大改變,於後所進行的計畫也是。
資料傳輸經理人: Avnesh Pandya
作為GDPR的資料傳輸經理人,我的角色是計畫以及協調我們對於民眾所提出之回應。我也和內閣總理辦公室的同事們一同合作,並分享我們在政府部門間的學習與協調經驗。包含我在內的每一位GDS的人員,也都是服務使用者,因此我們一直致力於審查我們的內部政策以及指導原則。
GDPR計畫一共由19個工作團隊所組成,而我們已經為此展開了近一年的工作時程。這個工作團隊很大,GDS中由不同專業領域的專家人員所組成並在特定專業領域中展開工作,而我們也會定期開會分享我們所習得的新知識。
(在這篇部落格文章中,接下來會談論到在GDS辦公室中,司職不同項目的人員為了準備GDPR計畫他們所遇到的挑戰。)
商業策略顧問 Advisor Georgina Grant
我的角色是去確保GDS和現行供應者的協議有符合GDPR的規範。進行這件事情時,我們一直在發布關於新條款的條約變更事項,以及清楚的規範出彼此各方的責任為何。
最重要的是?
供應者於協助我們傳送數據服務上扮演了一個重要的角色,我們需要去確認他們了解我們需要什麼樣的資訊以達到新規範的要求標準。
最大的挑戰是?
由於GDS內部的商業協議內容的數量及種類繁大,因此確保契約變更的範圍達適當的程度,為最大的挑戰,並且是計畫中最重要的部分。
資訊經理人Niall Keegan
身為GDS中的資訊管理人員,我負責於個人訊息、記錄管理之最佳處理方式並提供建議,以及處理私人數據資料的任務。我也是GDPR團隊中的核心成員,負責起草規範準則、並使服務及程序能夠符合GDPR的規定。這當中包含了使用同意書以及隱私聲明等。
最重要的是?
合乎GDPR的規範對我們於GDS的工作有實益,這將確保我們能維持更好、更精準的訊息,使我們於自己的服務上能建立穩固的關係以及增加信任度。作為政府部門間數據服務的典範,GDS有很大的機會能在GDPR合規性層面取得領先地位,首先以正確地告知有關人員並訂定相應流程的方式作為開展。
最大的挑戰是?
有很多互為優先處理的事項,如記錄我們在業務中所有處理程序即是很大的挑戰。我們一直以團隊合作之方式來審查程序以及包含著個人數據的文件資料,由於在GDS上的數據儲存工具大幅增加,故有時候會令人望而畏懼。
產品經理人Chantal Foyer
我是數據市場的產品經理人。身為確保我們的服務有符合GDPR的規範的一部份,我們需要去更新我們與市場上進行銷售服務的供應者所簽訂的契約,以及使他們都能接受這些契約上的變更。
最重要的是?
我們需要了解我們的供應者都知道這些在法律上的變化,以及確保他們的服務是符合法規的。
最大的挑戰是?
在數據市場上,我們有超過4000個供應者,我們需要所有的供應者都去審視我們所提出的更改規範,並且接受規範。
如果我們必須人工地去進行這項業務,這會花費很多的時間。但反面操作之下,我們重覆使用了我們為了先前契約所建構的機制,這個機制以線上流程即可讓供應者去審視這些規範的變化並接受它。這意味著在這前四周之間,我們就處理了3500則上下的接受回覆。
用戶研究管理人John Waterworth
我是GDS中負責用戶研究領域的管理人,也是跨政府部門間關於用戶群體研究的負責人。尊重參與者的隱私是我們工作上很重要的一部分,因此對我們而言GDPR的修訂亦是很重要的。
而我同時有責於確認GDS所進行的研究是符合倫理以及法規的,也為跨政府部門的研究人員在服務手冊中提供指導原則。我在專案中的角色是去更新作業流程,同時以清楚明瞭的方式與參與者進行溝通。
最重要的是?
雖然蒐集關於參與者的個人資料並非我們研究的目的,惟我們常在記錄中以個人資料作為結尾,並在研究期間會錄音與拍照。對於調查的回覆會包含著個人數據資料,以及在試用期間,參與者可以輸入個人數據資料於原形或測試版的服務平台中。
因此我們需要仔細管理我們所收集跟儲存研究數據的技術,我們也需要去理解我們要如何使用,比如以節錄以及影音剪輯等任一方式來擷取所需。
最大的挑戰是?
我們了解從研究會議中向同事展示影音片段、聲音片段、照片以及衍生等節錄資訊,能幫助團隊了解他們用戶,這部分有很寶貴的價值。我們努力的找出簡單的方法讓使用用戶資料的研究人員能夠遵守規範、能分享這些擷取的資訊,同時又能保護參與者個人隱私。
研究人員可以選擇創制完全匿名化的擷取資料,這會耗費一點額外的工作時間,但代表著研究人員可以自由地將那些擷取資料納入他們的研究結果、以及納入公開報告或部落格貼文中。亦或者,研究人員可以使用可辨識參與者的擷取資料。但他們就必須小心的控管誰可以查看這些節錄資料並且防止其他人複製或下載這些資料。
可靠度工程師Lee Porte
身為領導英國政府服務平台能作到GDPR合規性的成員,我的責任在於撰寫層級架構並將它們提供給我們的產品經理人進行優先排序。而為了能使團隊工作流暢,我必須與中央的GDPR小組密切保持聯繫,以確保能在時間內完成合乎新規範所要求的任務。
最重要的是?
這是在英國政府平台的服務團隊中很重要的一個角色,因為我們身處於一個獨特的位置,我們提供了其他的服務供公務員以及民眾使用。因此我們必須能夠為服務的用戶提供合乎GDPR規範的資訊,我們還必須向公務員提供其所須資訊,使他們能在期限內落實符合GDPR之規範的任務。
最大的挑戰是?
最大的挑戰是要蒐集我們使用的資訊給予不同的供應者,這是很困難的,因為他們往往在相同的處理流程中所要求的資料都是不一樣的。
副交付經理人 Syed Bokhari
我在GDPR計畫團隊中是一位副交付經理人。近期超過六個月的時間,我都在協助經理規劃要完成的工作事項以及規劃應將於何時完成。
為何這是重要的?
通常這樣規模的計畫,需要作的事情涉及許多層面,包含了許多團隊與人員。與團隊合作以理解他們所面臨的挑戰以及我們能如何支持計畫團隊,是非常重要的。我的角色是協助他們找出可能受到的阻礙及影響傳遞風險的解決方法,也協助他們規劃及安排優先工作,使團隊能更按照商訂的時間實現目標。
最大的挑戰是?
在19個工作團隊中大多是致力於GDPR的專業團隊,並由具有各種專業能力的人所組成。在GDS中,我還有每季的任務,這代表者每一季都會有人離開以及加入工作團隊,也意謂著很多人都參與了我們正在進行的任務!
最大的挑戰是創造一種工作模式,確保資訊是以我們創造的平台來分享的,並且共同解決所有挑戰,同時也向更高層的利益關係者與更多政府部門報提出我們的報告。
下一步是?
我們為了達到GDPR的目標而專注於我們現行所提供的服務,隨著這些方法的發展,我們的用戶隱私權權利的保護也將達到這樣的程度。
在GDS中,我們代入了「設計隱私權」的概念,這意謂著隱私權是我們在設計服務內容時會納入考量的因素,而非日後才要進行改變,因此這將會是我們所有相關活動的出發基礎。
*本文僅供倡議主題介紹,以簡單、前導性翻譯方式向大家介紹相關外國制度,如欲理解更進一步內容,尚請自行查找或點選網路資料途徑*