歐盟GDPR 燃燒沸騰一段時間後,似乎又趨於冷卻。原因是目前GDPR鎖定目標都還在大型企業集團或大型網路服務業,如:facebook, google…等訴訟,還無心力來關注其他。
所以相對不積極了,這樣想法是一種賭徒性格,但罰則太過嚴厲,誰知道會不會發生在企業身上,所以企業主還是需要審慎待之。平心而論,如果你讀完GDPR法條,再去回想台灣個資法,其實有不少設計模式與台灣個資法部分雷同。可是因為在台灣個資法就不積極落實,當你是一個與歐盟密切商業往來的企業,認真看待GDPR時,就會發現要把先前不重視的台灣個資法也需要一併補齊。因為GDPR又比台灣個資法更為嚴格。
但是異曲同工之處又有哪些? 其差異性又有哪些? 是當的保護技術措施是必然的程序,收先確認落地在歐盟的個人隱私資料,都有通盤的資訊安全防護,舉凡:檔案加密,以及存取分權,列印管理,資料庫安全,隱私個資宣告…等幾乎是「標配」。仍建議由法務或相關人員詳讀GDPR相關規定,必要時尋求國際型會計稽核事務所來給予完善建議。與歐盟生意往來的企業必須注意個資法與GDPR差異在於罰則,也是許多企業陸續緊急處理的原因,想想各位應該最近都一直有收到隱私條款變更的通知確認信,最著名的就是Line 的服務,其原因都是為GDPR而來。
可是GDPR所提的被遺忘權與刪除權,與台灣個資法一樣,都必須落實執行,但是這裡的被遺忘權,普及落在歐盟成員國人民的基本權利,所刪除的資料涵蓋了備份資料在內,所以大大增加資訊系統設計的難度。再者加上紙本資料與電子檔案,充斥在企業內部,處理起來十分不易,透過詳實的資料盤點,幾乎是無法避免的程序。
對於GDPR要更注意匿名與假名之差異,這裡的匿名是完全匿名,切勿將匿名與假名在GDPR定義上混淆了。所謂的匿名簡言之就是不可以因採行某些技術手段或是相關性資料所產生連結出真實身分。在資訊系統設計上,因考量稽核及相關法規的要求,建議使用假名設計模式,透過加解密機制、審核放行、分權管控…的相關流程與技術設計,可以補足假名設計原則。
至於公司員工規模大到符合GDPR規範標準,應採取設計DPO個資隱私長角色,在GDPR法規上都已經詳述改職責的相關工作內容及責任義務,在本文中就不詳述。這裡要談的是不論是否有DPO,建議以高規格的流程設計模式,建立自動化的資料處理流程,可以有效降低其風險。
最後要提醒各位關注E-Privacy相關規定與發展,因這項規範將擴及到網路通續設備,軟體資訊系統…等。影響層面更大。建議在面對GDPR的規範時,正確尋求顧問的服務,是一個比較謹慎安全的作法,而搭配適度安全防護與加密技術…等,是技術性解決模式,期望在GDPR的時代,仍讓各企業以最合適的方式解疑GDPR的一些概念性問題。