【歐盟GDPR法規開罰案例的省思】(下)
資策會產業情報研究所所長 詹文男
以臺灣廠商而言,受到GDPR最直接影響的包含航空海運貨運承攬業、高科技製造業和金融業,以及有設立歐盟分支機構之企業等。此外,凡是網站或提供的服務會提供歐盟民眾瀏覽使用,或者是會蒐集、處理和利用歐盟公民資料的企業或組織,不論是否座落在歐盟境內,或者是否有在歐盟設立公司,仍需遵循GDPR,以確保歐盟民眾個資不會遭到濫用或外洩。由於違反GDPR最高可裁處2,000萬歐元或該年度全球營業額4%的罰鍰,只要與歐盟企業或民眾有業務相關的企業,恐怕都需嚴肅對待。以下是幾點建議:
首先,企業須自我評估企業內部個資處理的風險程度,且非僅從資安角度切入,而是應從業務流程全面檢視,確認各個環節中,與歐盟民眾個資互動情況,據此調整因應作為,包括企業營運流程及資訊系統的改善。尤其不管客戶是企業或一般民眾,只要有牽涉到歐盟地區的個人或組織,都必須遵守相關法令,千萬不要忽略或輕視,以免因小失大。
其次,GDPR立法精神在於轉變過去將蒐集來的個人資料視為企業所屬資產,回歸為這些資料僅是為用戶暫時管理。亦即企業僅是託管,非擁有。因此需強化組織內控系統的分權原則與最小使用權限。而且應善盡個資當事人權益的保護,例如使用當事人易於理解的告知方式,以及尊重當事人行使個資可攜權等等法定權利。這些年資訊安全事件頻傳,未來也只會更嚴峻,投入必要的資源,做好應有的防護,需要高層的重視與承諾。
最後,雖說GDPR為歐盟所制訂的法規,但對全球各國相關法令皆產生影響。在可見的未來,在GDPR示範下,對於民眾隱私保護的嚴格立法現象將是可預期的。我國個人資料保護法之內容與含括範圍不及GDPR廣泛與明確,因此對台灣企業而言容易發生即便符合國內個資法之規範,但卻未必符合GDPR。在現今無國界網路時代中,難以保證企業得以完全免除在GDPR規範外。因此建議審視我個資法之內容,評估是否有需因應調整之處,以免廠商於國際市場中誤觸受罰;同時企業也可藉此調整導入一套符合個資保護國際趨勢的系統和制度,為將來的全球化打下基礎!
#歐盟GDPR法規開罰案例
(全篇完)
--------------------------------------
更多文章與新知~請上紫丁香官網:
http://www.lilac.org.tw/
歐盟gdpr法規開罰案例 在 歐盟GDPR法規開罰案例的省思 - 紫丁香婦幼關懷協會 的相關結果
全球搜尋引擎龍頭Google今年初遭法國資料保護署(CNIL)以違反歐盟線上隱私法令為由,重罰5,000萬歐元(約新台幣17.6億元),這是歐盟通用資料保護法規( ... ... <看更多>