史上最嚴格個資法GDPR在今年5月25日於歐盟上路。安永會計師事務所昨(12)日指出,企業必須留意5大改變,包括企業應負隱私查核責任、須配合客戶做資料刪除、個資外洩要在72小時內通報、客戶同意條款改為逐項確認,並且須設立資料保護長。
KPMG執行顧問翁士傑認為,GDPR對我國企業影響有兩大層面,第一是我國企業在歐盟設立分部、據點,第二則是企業有歐盟端客戶。他也指出,在企業員工、歐盟客戶資料部分,公司都須遵照GDPR規定。
安永審計服務部營運長涂嘉玲則表示,GDPR規定將迫使亞太區企業對客戶資料採取極為精細的控制,而亞太區很少有企業需要或具備此種控制程度。企業必須證明已履行保護與尊重客戶與員工個人資料方面職責,以避免罰款,尤其GDPR最大罰金為全球年度營業額4%或2,000萬歐元(取其高者作為罰款)。
GDPR增加企業對個人資訊處理和管理責任。涂嘉玲認為,企業必須證明自身遵守法規要求,包括資料記錄和活動處理、完成隱私衝擊評估以及定期執行隱私查核。
如果是涉及損害客戶權益事項,涂嘉玲表示,特定情況下企業也得照客戶要求,刪除所有系統中的該客戶資料。若企業發生資料外洩、並影響個人隱私權,企業更得在72小時內通報主管機關,情節嚴重還須通知受影響個人。
另外,涂嘉玲同時也指出,GDPR也對企業取得客戶同意樹立嚴格要求,包括客戶須主動表示同意、各不同流程均須取得同意、須明確告知有權撤銷許可,而企業端也要設立資料保護長監督和管理資料隱私。
翁士傑坦言,不少我國高端企業相當重視GDPR,在法規上路當天就已對客戶與員工發布通知,並詢問其同意和告知資料刪除權。
除此之外,他認為,GDPR對我國企業是一大契機,藉由提前建立個資標準,並將隱私設計到產品內,未來在國際ISO認證上,更能打入歐美市場,並做出我國與中國大陸、東南亞等他國的高隱私產品的區隔。
(工商時報/林昱均)
