工商時報朱漢崙/台北報導
金融圈人士透露,因應歐盟的GDPR上路,銀行公會已在上月完成「會員銀行因應GDPR參考因應措施」,並已在20日匯整成十大建議發函全體國銀,可說是金管會指示銀行公會研商GDPR應對措施以來,最具代表性的「教戰守則」。
其中銀行公會特別提醒國銀,進行KYC(認識客戶)時要小心「踩雷」,儘管KYC是洗錢防制等要求必作的程序,但由於KYC在GDPR看來「並非履行與客戶的契約所必須」,倘若銀行為了KYC進行相關資料的跨國傳輸(即把個人資料從歐盟的分行或子行傳回台灣的總行),必須簽訂標準契約條款SCC或是申請BCR,否則即使銀行善盡KYC的責任是為了洗錢防制,仍有可能踩到GDPR地雷。
個資示意圖(來源/好房網News)
此外,銀行公會也特別示警「徵信」問題,就算是為了法人授信業務,例如聯貸案作徵信,若資料搜尋範圍擴及到企業戶的董監事等自然人資料,這類資料也將受到GDPR保護,銀行在運用資料時要特別小心觸法。銀行公會此次是委請建業律師事務所進行十大因應措施研擬。
銀行公會提醒,由於GDPR禁止所謂資料國際傳輸,若國銀要自歐盟境內傳輸歐盟自然人個人資料回台或至第三國,一定要洽專業顧問意見採取措施。銀行公會在上述因應措施的建議主要和資料行銷、歐盟自然人資料在銀行內部使用、跨國傳輸方式相關,例如銀行網頁對於商品或服務介紹的文字,如果是譯成歐盟國家的當地語言,如德文、法文、英文等,就會構成所謂的「意圖行銷」,可能觸犯GDPR。就指定「資料保護長」(DPO)方面,銀行公會建議,倘若在歐洲沒有據點的國銀,只要沒有「利害關係迴避」疑慮,不排斥可以好幾家指定同一家機構作為窗口。銀行一般對於客戶,或員工的前科、或犯罪資料會留存,但銀行公會也指出,針對GDPR,若沒有非得保留的必要性,「建議刪除」,否則連保留這類資料都會觸法。
銀行公會同時指出,GDPR所保護的資料,不論資料主體國籍或住所是否在歐盟,只要是歐盟境內的分行或子行的交易均納入範圍,因此國銀必須再針對其銀行的資料傳輸流程、處理,以及資料控管的據點在歐盟境內活動方式等個別情況研判。
