臺北101總經理陳世明(左)日前在顧問公司安侯建業(KPMG)執行副總謝昀澤(中)的見證下,從驗證公司臺灣BSI總經理蒲樹盛(右)手中,獲得個資保護認證BS10012:2017新版證書。

圖片來源: 

iThome

臺北101是臺灣重要的觀光據點,光是101的觀景臺,每年有超過260萬人次的觀光客拜訪,而101大樓樓下的精品百貨公司,更是全球重要精品品牌匯聚的重鎮,國際旅客退稅資料中,更有不少是歐盟公民的個資。在面對即將於今年5月25日正式實施的GDPR(歐盟通用資料保護規則),如何保護這些歐盟公民個資也成為臺北101的新挑戰。

取得新版BS10012認證,率先符合GDPR個資保護作法規範

因此,臺北101總經理陳世明表示,該公司在2015年已經取得BS10012:2009個資保護認證,並在2017年將原本個資保護認證的範圍,擴展到全組織,包含101的商場、觀景臺等業務單位的個資使用,全都納入認證的範圍。「臺北101也是臺灣第一間,以全公司為BS10012個資保護認證範圍的精品百貨業者,同時將旅客、消費者以及臺北101大樓企業租戶在內的1.2萬名員工的個資等,也都一併納入個資保護的範圍。」她說。

新版的BS10012:2017改版的時候,同時面臨歐盟最嚴格個資法GDPR(歐盟通用資料保護規則)即將於今年5月25日正式實施的時間點,因此,在選擇如何保護歐盟公民個資的作法時,臺北101便選擇,即便在2017年已經因為將個資保護認證擴大到全公司,在不到一年的時間,為了因應GDPR保護歐盟公民個資,更選擇申請認證新版BS10012:2017,作為因應之道。

輔導臺北101取得BS10012:2017新版個資認證的安侯建業(KPMG)執行副總謝昀澤表示,許多企業在取得BS10012認證時,都會以資訊部門作為主要的認證範圍,但臺北101花了3年時間,將個資保護的認證範圍,拓展到每一個業務單位,也意味著,只要是臺北101每個部門所蒐集、處理和利用到的各種個資,都在個資保護認證的範圍之內,相關的個資資訊流也都有跡可循。

負責驗證的臺灣BSI總經理蒲樹盛指出,臺北101有許多外國客戶,在提供相關退稅服務時,一定會蒐集、處理和利用許多外國客戶的個人資料,透過一套完善的個資保護制度,並深化到臺北101的作業流程中,個資保護才能真正落實。他強調,目前臺灣許多在歐洲設立分公司的臺灣總部正在積極因應GDPR外,還有其他包括航空業和高科技製造業,也都在這一波必須積極因應的行業名單中。

去識別化確保自動剖析不用到真實個資,首度指派法務主管擔任DPO

陳世明指出,臺北101很早就開始利用大數據進行各種資料分析,並且也會將分析結果應用到各種行銷、商品擺設以及來店禮、滿額禮的實際應用上。只不過,在新版GDPR的規範中,有特別強調,個資當事人有權反對被系統自動剖析(Profiling)、被納入資料分析的權力。

陳世明表示,早在因應臺灣個資法的規範時,對於用來數據分析的資料,就已經先做到個資去識別化,以確保客戶的個資保護與使用安全,而未來,面對規範更嚴格的GDPR規範,她強調,臺北101不只會事先進行完整的個資去識別化,也會同時進行去識別化的風險評估,包括資料庫系統都有相關的配套設計,目的就是要確保,臺北101在進行相關的大數據分析時,不會使用到個資當事人的真實資料。

在GDPR的規範中,也特別要求必須要指定DPO(Data Protection Officer,資料保護官)一職,陳世明說,由於個資保護認證BS10012主要負責的單位是臺北101法務室,更指派法務主管負責該功能職掌,未來只要是涉及歐洲民眾個資的蒐集、處理和利用等,都會有相對應的窗口負責。文⊙黃彥棻

 

 


Advertisement

更多 iThome相關內容