自5月25日,歐盟通用資料保護規則(GDPR)正式實施,臺灣企業都做好準備了嗎?過去臺灣個資法的推出,不少企業已經重視這一方面的保護,像是重新調整企業內部的系統,導入個資保護的系統和制度,以符合臺灣個資法的規範。現在,面對影響範圍擴及全球且更嚴格的GDPR,或許仍有企業不知如何著手,亦或將個資保護只視為IT部門的責任。

對此,身為臺灣指標性地標之一的台北101,在因應歐盟GDPR個資保護的規範上,已經做出了最佳的示範。他們採全組織導入新版BS10012:2017的方式,成為臺灣第一個將個資保護,從臺灣民眾拓及到歐盟公民的百貨服務業者,同時也遵循該法規要求,指派法務主管擔任資料保護長(DPO)一職,積極面對即將到來的個資保護。

台北101總經理陳世明表示,過去台北101在2015年已經拿到BS10012:2009個資認證,是國內百貨業第一間取得,今年更是以全組織取得新版BS10012:2017個資認證,再度成為百貨業第一。隨著個資保護基礎的不斷提升,加上同仁們的使命感,讓他們能夠順利推動到全公司。(攝影/洪政偉)

要讓個人資料保護,成為公司每個同仁的使命感

對於國際觀光旅客而言,台北101是臺灣重要觀光據點,每年有超過1,000萬人次的國際消費者造訪,不論是101大樓樓上的觀景臺,樓下購物中心商場客服與退稅,還有一年一度吸引全球登高好手的台北101垂直馬拉松,都讓台北101會接觸到歐盟公民的個人資料,如何保護這些歐盟公民的個資,就是台北101要面對的挑戰。

為了因應歐盟公民個資保護事宜,台北101選擇取得英國新版個資保護認證BS10012:2017,作為因應GDPR的參考指標。今年4月,他們已經從BSI英國標準協會取得個資保護認證BS10012:2017新版證書,並將全組織都納入個資保護認證範圍。

「在個資保護上,我們(台北101)希望能作的比別人更多一點。」台北101總經理陳世明表示,身為精品百貨業,他們對於消費者個人資料保護相當非常重視,這次將全組織都納入,也是因為公司所有同仁都有這樣的使命感,才能順利完成。

同時,她也提到近期在精品百貨市場,國外已經有兩個同業接連遭駭客入侵,顯然,精品百貨已經成為駭客攻擊目標,鎖定的就是業者本身的VIP客戶資料。

對此,陳世明認為,台北101在個資保護上的作為,一定要走的更前面。例如,他們不僅是在2015年取得BS10012:2009個資保護認證,在全世界的隱私保護法規不斷提升下,面對歐盟GDPR的到來,今年他們又取得英國新版個資保護認證BS10012:2017,作為因應GDPR個資保護控制措施。

令人注目的是,今年他們是將個資保護認證的範圍,擴展到全組織,也就是包含101的購物中心、觀景臺等業務單位的個資使用,全部納入。並不像許多企業僅以資訊部門,作為取得BS10012主要的認證範圍,相當難得。而這也等於是讓台北101每個部門所蒐集、處理和利用到的各種個資,以及相關個資資訊流都將有跡可尋。

同時,台北101也對應GDPR的要求,指定DPO(Data Protection Officer,資料保護官)一職,並以個資保護認證BS10012的主要負責單位,也就是由台北101法務室的主管徐家俊擔當。

全世界的隱私保護法規不斷提升下,在台北101客服與退稅櫃臺上,他們也公布了最新版的隱私權公告,對於個資保護與個資當事人權利方面也都提供詳盡的解釋。(攝影/洪政偉)

重視個資生命週期,甚至每年執行兩次全組織個盤

對於不少臺灣企業來說,面對GDPR這樣的的法規遵循,但沒有詳細的步驟、方法可供參考、借鑑,因此,仍有許多企業感到無所適從。從台北101在這方面的經驗來看,他們是從何時著手?又是如何進行呢?台北101法務室經理徐家俊表示,台北101是在2017年3月做完個資驗證後,開始策劃他們的下一步。

當時,他們先是透過他們的個資管理小組,發布相關訊息,讓同仁們能夠瞭解,歐盟對於個資保護會有新的要求,而個資管理小組的成員,即是各部門的代表,再將訊息發布到公司每一個人。其實,這也就讓保護意識默默深植。

下一階段,就是思考如何去因應保護。儘管他們當時已經遵循臺灣個資法,在2015年也取得BS10012:2009個資保護認證,建立個資保護制度,但面對GDPR的到來,仍不敢掉以輕心。

鑑於英國標準協會,於2017年3月31日發布BS 10012:2017新版標準,且此次修改係為遵循歐盟一般資料保護規則GDPR的規定,因此,他們在去年即選擇以此新版BS10012作為遵循標準。這在某種程度上,也已經是接近符合GDPR的規範。

在細部作法上,台北101也具體說明了他們的方式。首先,就是重新審視個資盤點,這部分他們過去就有在進行,能掌握那些部門保有那些個資,以及用什麼樣方法來管理。但是,台北101法務室法務主任李黛苓表示,在進行BS10012改版作業下,他們發現,原本的個資保護並不夠,需要個資生命週期的方式來檢視,才能掌握到完整的個資的動向與個資的安全防護,像是個資實際擁有的人與處理的單位,還有如何提供給第三人或委外廠商等面向。

至於如何掌握個資流,幫助台北101取得新版BS10012個資認證的安侯建業(KPMG)執行副總謝昀澤表示,針對個資盤點的執行上,為了因應這次的新法,他們稍微調整了盤點表的設計,重點就是要幫助強化整體個資流的識別。不論是從一開始的資料取得方式,個資取得的合法基礎,到取得個資後,在組織內部的個資流向,以及最後的對外提供,都能有很清楚的識別,即便是跨境傳輸的部分也包含在內。

也就是說,在全組織的個資盤點之下,他們更強化了資料流的清查。當個資進入到台北101時,他們會去識別出所涉及到的各個單位,儘管個資盤點時,是以部門自己的主要業務流程去盤點,假如盤點的部門單位拿到的是第二手資料,那第一手是誰?下一手是誰?才能將全公司的個資流串起,並能檢視那些部門涉及到這些個資的使用處理流程。此外,風險評估(RA)也同樣要持續衡量,作業流程風險、法令遵循檢視,以及侵害事件風險分析。

對此,臺灣BSI總經理蒲樹盛也表示贊同,他表示,在企業面對GDPR的挑戰中,由於現在客戶擁有很多權利,像是請求刪除的權利(the right to erasure),過去企業在個資蒐集上,可能用在許多不同地方,像是行銷與合作推廣等。一旦客戶要求刪除時,企業可能刪除了主檔,但其他地方是否也能一併刪除,就是企業很大的挑戰。因此,對於個資應用軌跡的掌握,就是相當重要的一環。

關於個資盤點,過去企業在臺灣個資法施行時,就已經體認到其重要性。但是,面對更多個資保護的法規遵循需求,以台北101現有的作法而言,在既有的個資保護方式外,他們更是看重個資生命週期的掌握性。

不僅如此,在他們自身訂定的個資管理辦法中,也能看出他們對於個資盤點的重視,因為他們每年都規定要做兩次個資盤點,而這樣的頻率甚至比稽核頻率都要來的高,如此務實的態度,也成為他們能順利落實個資保護的關鍵。

遵循法規並重視顧客權利,只要符合規定就能依當事人請求刪除個資

談到GDPR的「被遺忘權」,也是近年來歐洲對於隱私保護一再強調的重點。徐家俊表示,對於當事人刪除個資的請求,台北101也提供當事人相對應的管道,只要提出的理由合理,就會透過一定的程序,將所有資料刪除,包含像是存在系統以及連結到的檔案資料庫等的當事人個資。

不過,企業若是依據其他法律規定而蒐集或使用個資,企業就有權拒絕使用者的刪除要求。台北101法務室法務主任李黛苓也補充,像是他們在執行個資盤點時,都會要求同仁列出蒐集這項的依據,如果是依法蒐集,也會有其保存年限,他們都會在個資盤點的保存期限項目中特別標註。因此,他們也能識別出那些資料是企業有權拒絕刪除的。

還有像是將個資應用在數據分析上,台北101在一開始,也就會將相關個資做去識別化,達到無從識別個人資料當事人。

台北101通過新版BS10012:2017個資認證,其主要負責的單位就是台北101法務室,而他們同時也指派法務室經理徐家俊擔任DPO一職。徐家俊表示,未來只要是涉及歐洲民眾個資的蒐集、處理和利用等,都將會有相對應的窗口負責。(攝影/洪政偉)

全體動員,提升內部與委外的個資保護意識與教育訓練

要讓全公司動起來做個資保護這件事,一定有難度,如何讓所有同仁認真的個資保護當一回事,並且切實質行,就是挑戰。

徐家俊指出,他們對於公司內部同仁會提供相關教育訓練,比較值得注意的,是在委外廠商的配合。像是一開始委外廠商對於個資保護的態度,可能覺得不重要也不積極,因此,他們會採引導方式,並將這方面的要求列於委外合約當中,簽署保密切結書,同時每年還要執行一到兩次的委外檢查,用嚴謹的方式來規範。另一方面,他們也會告訴對方將此列在後續合作的考量,也就是未來採購時選商的資格評估。透過這樣的方式,提升委外廠商對於個資保護的態度。

還有像是面對個資事故通報,如何讓每個同仁能有適當的行動方針可以遵循,也很重要。

因此,在台北101本身制訂的個資管理辦法中,也會告訴同仁在涉及到個資的相關業務,該怎麼處理。同時,他們也有簡單的任務編組,讓各部門都能知道事發當下該如何因應。

李黛苓認為,雖然沒辦法要求大家對個資管理辦法都能倒背如流,但要讓同仁能有可以遵循的辦法。最簡單的原則就是,至少要在接觸到個資工作時,公司同仁第一時間知道要跟法務室聯絡,而他們將會提供相關流程上的建議。

並且,為了讓同仁能對於個資管理辦法的熟悉度,他們每年會做一次個資相關的測驗,並針對不及格者複試與輔導。而這樣的測試,不論公司正職員工、約聘人員都要參加,總經理也不例外,未來,他們也希望能擴大推廣,要讓場域內的保全、清潔人員,都能參與其中。

對此,KPMG謝昀澤也表示,他們還需要定期進行事故通報的演練。像是他們會提供演練腳本與情境,讓他們一開始可以試著依照腳本去練習,等到熟悉之後,就會知道事情發生時,該打電話給誰,誰接到電話後要向誰報告,如何處理事件調查反應,以及是否要知當事人,或對外發布新聞稿。

IT單位新使命,新系統上線都要考量資料保護

最後,在GDPR的規範中,也將個資保護系統預設要納入隱私保護,像是Privacy by Design(隱私保護設計)或者是Privacy By Default(隱私保護預設)這樣的概念,對此,台北101也給出他們的答案。

徐家俊表示,過去沒有這樣的概念,因此系統開發上都是屬於事後再去因應,在這次導入新版驗證期間的會議上,就有討論相關事宜,這是他們未來要努力的方向。這也是他們IT單位新的使命,日後只要有新系統上線,或是現有的系統更新版本,就要將這樣的概念放進去,將資料保護設計納入相關系統設計考量。

GDPR的個資盤點分析表範本

協助台北101進行BS10012:2017新版認證的安侯建業(KPMG),特別提供了他們新調整的個資盤點分析表範本,幫助台北101在個資盤點時,能以個資生命週期的方式來檢視,比過去更能掌握持有個資的動向,而以表中這些盤點分析的項目而言,也等於是提供一個在盤點分析實務上,能夠參考的方法。
圖表來源:KPMG,iThome整理,2018年5月

業務職掌說明 

 

目的說明

 

管理單位

 

保有單位

 

檔案形態

 

遵法說明

 

告知義務

 

處理目的

 

資料接收說明

 

跨境方式說明

 

資料來源說明

 

內外部資料流分析

 

處理方式說明

 

再利用說明

 

個人資料項目

 

高風險個資

 

保存期限

 

銷毀方式

 

存放地點

 

保管方式

 

 

GDPR風險評估表範本

因應GDPR迫在眉睫,臺灣要評估是否受到GDPR影響企業,可以藉由執行風險評估(Risk Assessment,RA)來衡量,對此,協助台北101通過BS10012:2017轉版驗證的安侯建業,也提供了相關的RA分析表範本,供企業能有簡單的方法可供參考、借鑑。
圖表來源:KPMG,iThome整理,2018年5月

作業流程風險說明

個資檔案防護強度分析

   

法令遵循檢視

資料流程法令遵循

   

侵害事件風險分析

個資數量統計

   

 

個資敏感分析

   

 

資料違規侵害對組織影響分析

   

 

資料侵害對當事人影響分析

   

風險說明

 

   

 


Advertisement

更多 iThome相關內容