企業因應GDPR不僅是一份合規的工作,更重要的是,也可以變成商業資產和推動者,甚至可能是企業的競爭優勢。因此,企業在因應GDPR所面臨的挑戰,如果可以順利克服,也將成為企業的商業資產。臺灣勤業眾信風險管理諮詢公司協理林彥良也指出當中的關鍵,進一步剖析了企業因應GDPR的10大挑戰。

捍衛當事人個資權益,個資外洩必在72小時內完成通報

首先,企業面臨到的挑戰,就是透明度的要求。因為GDPR要求捍衛當事人對於個資使用和保護的權利,所以,許多企業面臨的第一個問題就是,必須要立即更新大多數的隱私權聲明。由於GDPR對隱私資料的定義更廣泛,包括:個人實體、生理、遺傳、精神、經濟、文化或社會認同以及生物特徵資料等,甚至連最新網路科技可識別個人的IP位址或是Cookie等,都包括在個資的情況下,因此,企業必須要重新徵求當事人同意,確保企業可以合法使用這些個資隱私資料。

其次,企業必須要能夠捍衛GDPR賦予當事人可以行使的權利,包括:查詢、閱覽、複製、更正、限制處理、異議反對;GDPR的規定更強調,當事人有權行使被遺忘權,在條件符合下,像是已經達到資料蒐集的目的後,已經不需要留存個人的資料;個人撤銷同意權;或是以非法處理的過程,取得有問題的資料等,當事人都可以在不妨礙組織法律義務的同時,行使被遺忘權,要求刪除當事人個人資料;並且,可以透過資料可攜的方式,將資料轉交給競爭對手;此外,也有權要求當事人不同意企業使用其資料,做為大數據資料分析等自動決策,具有這些權利的保障。

對此,臺灣勤業眾信風險管理諮詢公司總經理萬幼筠指出,像是很多網站會要求當事人同意相關的隱私聲明,如果當事人不同意,也就無法使用該網站的服務。但根據GDPR的精神,即使使用者不同意網站的隱私聲明,仍應提供替代方案,讓使用者可以使用網站服務。

GDPR的第三項挑戰,就是要做到外洩事故通知。GDPR規定,外洩個資企業必須在72小時內,通報監理機關,不得過度延遲告知;如果外洩的資料將影響個人隱私、權力或法律利益時,屬於情節重大者,也必須通知到當事人。林彥良表示,企業則必須保存組織中發生資料外洩的內部註冊表單,重點在於,可以證明企業已經採取適當手段,防止個資外洩對個人造成的不利影響,而通知個人的義務,可以由監管機關酌情決定。

優先落實隱私衝擊分析,資料保護長人才缺口大

第四項GDPR的挑戰在於,企業必須落實隱私保護衝擊分析和風險評估。林彥良指出,企業在做衝擊分析時,也必須分配大量的資源,來制定有效的評估方案。他也說,處理自由及權利並伴隨高風險時,或者是處理程序開始之前,都可以分析隱私保護衝擊;另外,當面臨系統性及廣泛的自動化個別決策(包含資料剖析)時,處理大範圍敏感性資料時,以及大規模系統監控公共無障礙區域時,也都可以分析相關的衝擊。

而GDPR的第五大挑戰,則是企業必須指派資料保護長(DPO),將使得相關的專業人士供不應求。林彥良表示,GDPR規定,需要設置資料保護長的情況有四種,包括公務單位和機構、大量系統化監控個人資料的組織、大量處理敏感性個人資料的組織;以及歐盟會員國根據其法律要求設置等情況。而資料保護長的基本職責,除了告知並建議適當的資料保護方式,也負責監督隱私資料的保護,對企業隱私保護衝擊分析的結果提出建議,作為監管機構和企業間的窗口,並與監管機構配合。

萬幼筠表示,GDPR正式實施後,預計會需要28,000名新的資料保護長,而企業指定的資料保護長不一定要專職,但必須要「專責」並可以委外,最主要的目的在於,可以針對歐盟個資保護監理負責,並作為企業和監理機構之間的橋樑。因此,跨國企業可以將資料保護長的角色,全部都指定給同一個人或同一個團隊負責。

GDPR的第六大挑戰,是要重新評估,並做好針對第三方廠商的風險管理。因為GDPR列出針對資料處理者的明確要求,有很多是委外的合作廠商,對於企業而言,必須要盤點委外合約,確認是否涵蓋GDPR的隱私保護要求條款,甚至必須要重新簽訂合約,才能做到符合GDPR的要求。

GDPR的第七項挑戰,在於必須做到記錄保存,他指出,企業須識別和清點處理個人資訊的過程和系統,並將所有的登入、登出和使用記錄都做保存;同時,將某些資料處理活動中所建立和保留的記錄儲存下來,一般而言,這部份工作必須涵蓋處理目的、資料類別、資料受體類別和保留期限等。通常,這也是為了預防萬一,因為爆發個資外洩的事件時,企業也必須透過這相關的資料,證明自己已經善盡善良管理人之責。

個資跨境傳輸規範多,臺灣政府可從尋求歐盟法規豁免著手

在第八項GDPR的挑戰當中,企業要注意,GDPR對於資料跨境傳輸有諸多限制。林彥良表示,如果企業或組織可以根據合約範本,綁定公司規章,以及獲得歐資資料保護認證的情況下,並有適當的控制措施確保對個人資料充分保護,就不需要具體的資料保護權責機關(DPA)授權;但是,若不是面對歐盟司法或行政機關需要揭露隱私資料時,地方或主要資料保護權責機關則需要提供授權。

目前,歐盟同意國際個資傳輸的前提,包括:必須要資料接收方位於歐盟經濟區(EEA)內;同時,本身也是歐盟成員國隱私保護主管機關核准的國家;並在適當保護和特定情況下,可以跨境傳輸個資。其中,適當的保護措施,則包括:綁定公司規章,標準化的保護條款,特定資料保護權責機關授權,經核准的行為準則和認證。

萬幼筠指出,因為GDPR已經是全球資料保護的新基準,對於資料跨境保護的要求,已經影響許多的國家和區域的法律規定,而這些區域都是臺灣主要貿易對象,也意味著GDPR將直接或間接影響臺灣,像是歐盟28國及瑞士對美國的資料跨境傳輸就依賴隱私盾協議(Privacy Shield Framework),亞太區21國家和地區則會透過APEC跨境傳輸隱私規範(Cross Border Privacy Rule,CBPR)和GDPR對接;至於即將脫歐的英國,則在去年9月14日公佈新版的資料保護法案(Data Protection Bill,DPB),取代1998年舊版的資料保護法規(Data Protection Act,DPA)並符合GDPR的規範,以確保英國脫歐後還能繼續與歐盟國家共享資料。

萬幼筠也表示,日本、韓國都在2017年G7高峰會期間積極和歐盟協商,希望如同美國簽訂隱私盾協議一樣,成為GDPR法規豁免的國家,但歐盟認為日本既有的個資保護法律的強度不足,而臺灣的個資法跟GDPR仍有落差,但政府未來是否可以透過修法,強化臺灣個資法的強度,並積極與歐盟協商取得法規豁免,則是我國政府可以努力的目標。

在GDPR的第九項挑戰當中,萬幼筠認為,Privacy By Design(預設隱私設計)是所有產品、系統和流程的基礎。他進一步指出,技術和組織措施必須確保資料保護需求,也要盡量減少蒐集和使用資料;在預設情況下,只處理每個特定處理目的所需要的個人資料,並且為人性化的預設隱私設置,也可使用其他包括去鏈結化或隱私增強技術。

企業遵循這項規範的最後一項挑戰在於,GDPR的重點不是過程,而是目的,是一場需要組織通力合作才能克服的挑戰。因為,因應GDPR作法時,IT部門要承擔很大的責任,卻沒有辦法接收到足夠的內外部資源,提供協助以落實法遵,這也使得IT部門承受極大的壓力。因此,如何讓需要IT部門來協助執行的法遵議題實施過程,也能從其他部門獲得極大的助益,是企業所有部門都應該正視的課題。

企業因應GDPR的十大挑戰

|挑戰1|更新當事人同意隱私聲明

|挑戰2|捍衛當事人個資權益

|挑戰3|個資外洩72小時內通知監理機關或當事人

|挑戰4|落實隱私保護衝擊分析和風險評估

|挑戰5|指派資料保護長(DPO)

|挑戰6|做好第三方廠商的風險管理

|挑戰7|做好記錄保存

|挑戰8|個資跨境傳輸規範

|挑戰9|Privacy By Design(預設隱私設計)

|挑戰10|全組織通力合作

資料來源:臺灣勤業眾信,iThome整理,2018年3月


Advertisement

更多 iThome相關內容