工商時報 記者孫彬訓、朱漢崙/台北報導
最新版「歐盟通用資料保護規則(GDPR)」5月25日上路,號稱史上最嚴格的規定。金管會主委顧立雄提醒目前在歐洲設有據點國銀需充分因應,包括台銀、兆豐、一銀、合庫、彰銀、華銀均全面進入備戰。
GDPR與台灣現行個資法,均以歐盟1995年所制定的「個資保護指令」為基礎制定,最大不同之處在「跨境傳輸」;一銀說明,就是指將個資移轉至第三國或國際組織,台灣個資法採原則允許、例外禁止,GDPR則採原則禁止、例外允許。
歐盟GDPR與現行銀行遵守的個資法不同之處。圖/中時電子報
兆豐銀主管說,GDPR除在歐洲的分行採「屬地主義」執行,其他地區海外及國內分行將依「屬人主義」,執行程度須視歐盟後續規範而定。據GDPR規定,一旦發現客戶個資外洩,須在72小時內向當地機關通報,否則將遭重罰最高2,000萬歐元,歐盟個資保護範圍比台灣更嚴,除客戶電話或資訊傳遞路徑,甚至連客戶所參加的團體組織,如工會或公會等,都在保護範圍,保護認知全得依GDPR規範重新界定。
國銀歐洲最多據點的兆豐銀,4月同時完成三家分行設置DPO(資料保護長);台銀倫敦分行也完成設置DPO,以最高規格應對即將上路的GDPR。兆豐銀不僅聘請顧問建議相關因應,且簽署「標準契約條款」(SCC)時也特別選擇2001年版本,主要因規定總行與分行必須對個資保護負連帶責任。
一銀強調,擬定相關法遵方案已提報董事會審議,預計可在GDPR正式施行前,全面符合規定,總經理鄭美玲去年帶隊視察倫敦分行,落實GDPR法遵監理;華銀則是最早完成委聘外部專業顧問協助的銀行,並已出具合規差異分析,個人資料保護認證也已取得BS10012國際認證,完成個人資料盤點;另SCC也預計5月完成簽署。
彰銀認為,對於GDPR定義,彰銀採嚴格認定,凡歐盟居民於我國申辦業務,均受GDPR規定保護的見解。目前已完成本國個人資料保護相關法規與GDPR差異評估與遵循方案,並提報董事會,並擬由倫敦分行與總行簽署SCC,全力完成符合GDPR對國際傳輸的規定。
