工商時報記者魏喬怡/台北報導
新版歐盟最嚴個資法GDPR上路後,首當其衝的是在歐洲有據點的台銀、兆豐銀、一銀、合庫、彰化銀、華南銀。銀行局官員指出,國銀除要設置「資料保護長」(DPO)之外,歐盟區的個資若要傳回台灣使用也要符合法規,有三種方式可選擇,目前多數國銀是選擇第三種,也就是銀行內部規範符合當地法規。
GDPR規範個資當事人可享有的權利,包括取得資料的權利、請求改正的權利、請求刪除的權利、限制處理範圍的權利、拒絕提供資料的權利等等,賦予個資當事人更大的權利,將加重企業的負擔,因為依照GDPR規定,當個資當事人請求行使該等權利時,企業就必須依法加以回應。
新版歐盟最嚴個資法GDPR上路。(示意圖/好房圈資料中心)
若是違反罰則相當重,包括在資料外洩事故發生後,沒有及時通知個資監管機構;沒有執行隱私風險評估;違法向第三國傳輸個資等違規行為等等,最高可以處罰2,000萬歐元(新臺幣7.2億元)或是全球營業總額4%做為罰款。因此金管會要求國銀皆要嚴陣以待。
銀行局表示,依GDPR規定,任何「個人資料」想傳輸至第三國有三種方式,一是儲存或處理所在地區屬歐盟官方認可的傳輸國家或地區;二是委任人與受任人簽署經當地主管機關批准的標準條款(簡稱SCC);三是如僅為集團內跨境傳輸,集團內須訂有經當地主管機關批准的Binding Corporate Rule(簡稱BCR),多數國銀選擇第三種。
至於在歐盟區沒有據點的銀行是否就可以高枕無憂?銀行局表示,依據GDPR,凡是蒐集有歐盟公民個人資訊的企業,縱然不是設立於歐盟境內,也可能受到管轄,因此還是要評估是否可能受到GDPR的影響,以免實施後,面臨違法風險。
