原标题:【台北101如何因应GDPR】总经理带头力推个资保护认证,年年2次个资盘点方法大公开
在台北101大楼购物中心B1的退税服务柜台,每年必须处理许多外国旅客退税相关事宜,而在这些国际旅客的退税资料中,他们就将面对到不少欧盟公民的个资。(摄影/洪政伟)
自5月25日,欧盟通用资料保护规则(GDPR)正式实施,台湾企业都做好准备了吗?过去台湾个资法的推出,不少企业已经重视这一方面的保护,像是重新调整企业内部的系统,导入个资保护的系统和制度,以符合台湾个资法的规范。现在,面对影响范围扩及全球且更严格的GDPR,或许仍有企业不知如何着手,也或将个资保护只视为IT部门的责任。
对此,身为台湾指标性地标之一的台北101,在因应欧盟GDPR个资保护的规范上,已经做出了最佳的示范。他们采全组织导入新版BS10012:2017的方式,成为台湾第一个将个资保护,从台湾民众拓及到欧盟公民的百货服务业者,同时也遵循该法规要求,指派法务主管担任资料保护长(DPO)一职,积极面对即将到来的个资保护。
台北101总经理陈世明表示,过去台北101在2015年已经拿到BS10012:2009个资认证,是国内百货业第一间取得,今年更是以全组织取得新版BS10012:2017个资认证,再度成为百货业第一。随着个资保护基础的不断提升,加上同仁们的使命感,让他们能够顺利推动到全公司。(摄影/洪政伟)
要让个人资料保护,成为公司每个同仁的使命感对于国际观光旅客而言,台北101是台湾重要观光据点,每年有超过1,000万人次的国际消费者造访,不论是101大楼楼上的观景台,楼下购物中心商场客服与退税,还有一年一度吸引全球登高好手的台北101垂直马拉松,都让台北101会接触到欧盟公民的个人资料,如何保护这些欧盟公民的个资,就是台北101要面对的挑战。
为了因应欧盟公民个资保护事宜,台北101选择取得英国新版个资保护认证BS10012:2017,作为因应GDPR的参考指标。今年4月,他们已经从BSI英国标准协会取得个资保护认证BS10012:2017新版证书,并将全组织都纳入个资保护认证范围。
“在个资保护上,我们(台北101)希望能作的比别人更多一点。”台北101总经理陈世明表示,身为精品百货业,他们对于消费者个人资料保护非常非常重视,这次将全组织都纳入,也是因为公司所有同仁都有这样的使命感,才能顺利完成。
同时,她也提到近期在精品百货市场,国外已经有两个同业接连遭骇客入侵,显然,精品百货已经成为骇客攻击目标,锁定的就是业者本身的VIP客户资料。
对此,陈世明认为,台北101在个资保护上的作为,一定要走的更前面。例如,他们不仅是在2015年取得BS10012:2009个资保护认证,在全世界的隐私保护法规不断提升下,面对欧盟GDPR的到来,今年他们又取得英国新版个资保护认证BS10012:2017,作为因应GDPR个资保护控制措施。
令人注目的是,今年他们是将个资保护认证的范围,扩展到全组织,也就是包含101的购物中心、观景台等业务单位的个资使用,全部纳入。并不像许多企业仅以资讯部门,作为取得BS10012主要的认证范围,非常难得。而这也等于是让台北101每个部门所搜集、处理和利用到的各种个资,以及相关个资资讯流都将有迹可寻。
同时,台北101也对应GDPR的要求,指定DPO(Data△Protection△Officer,资料保护官)一职,并以个资保护认证BS10012的主要负责单位,也就是由台北101法务室的主管徐家俊担当。
全世界的隐私保护法规不断提升下,在台北101客服与退税柜台上,他们也公布了最新版的隐私权公告,对于个资保护与个资当事人权利方面也都提供详尽的解释。(摄影/洪政伟)
重视个资生命周期,甚至每年执行两次全组织个盘对于不少台湾企业来说,面对GDPR这样的的法规遵循,但没有详细的步骤、方法可供参考、借鉴,因此,仍有许多企业感到无所适从。从台北101在这方面的经验来看,他们是从何时着手?又是如何进行呢?台北101法务室经理徐家俊表示,台北101是在2017年3月做完个资验证后,开始策划他们的下一步。
当时,他们先是通过他们的个资管理小组,发布相关讯息,让同仁们能够了解,欧盟对于个资保护会有新的要求,而个资管理小组的成员,即是各部门的代表,再将讯息发布到公司每一个人。其实,这也就让保护意识默默深植。
下一阶段,就是思考如何去因应保护。尽管他们当时已经遵循台湾个资法,在2015年也取得BS10012:2009个资保护认证,建立个资保护制度,但面对GDPR的到来,仍不敢掉以轻心。
鉴于英国标准协会,于2017年3月31日发布BS△10012:2017新版标准,且此次修改系为遵循欧盟一般资料保护规则GDPR的规定,因此,他们在去年即选择以此新版BS10012作为遵循标准。这在某种程度上,也已经是接近符合GDPR的规范。
在细部作法上,台北101也具体说明了他们的方式。首先,就是重新审视个资盘点,这部分他们过去就有在进行,能掌握那些部门保有那些个资,以及用什么样方法来管理。但是,台北101法务室法务主任李黛苓表示,在进行BS10012改版作业下,他们发现,原本的个资保护并不够,需要个资生命周期的方式来检视,才能掌握到完整的个资的动向与个资的安全防护,像是个资实际拥有的人与处理的单位,还有如何提供给第三人或委外厂商等面向。
至于如何掌握个资流,帮助台北101取得新版BS10012个资认证的安侯建业(KPMG)执行副总谢昀泽表示,针对个资盘点的执行上,为了因应这次的新法,他们稍微调整了盘点表的设计,重点就是要帮助强化整体个资流的识别。不论是从一开始的资料取得方式,个资取得的合法基础,到取得个资后,在组织内部的个资流向,以及最后的对外提供,都能有很清楚的识别,即便是跨境传输的部分也包含在内。
也就是说,在全组织的个资盘点之下,他们更强化了资料流的清查。当个资进入到台北101时,他们会去识别出所涉及到的各个单位,尽管个资盘点时,是以部门自己的主要业务流程去盘点,假如盘点的部门单位拿到的是第二手资料,那第一手是谁?下一手是谁?才能将全公司的个资流串起,并能检视那些部门涉及到这些个资的使用处理流程。此外,风险评估(RA)也同样要持续衡量,作业流程风险、法令遵循检视,以及侵害事件风险分析。
对此,台湾BSI总经理蒲树盛也表示赞同,他表示,在企业面对GDPR的挑战中,由于现在客户拥有很多权利,像是请求删除的权利(the△right△to△erasure),过去企业在个资搜集上,可能用在许多不同地方,像是行销与合作推广等。一旦客户要求删除时,企业可能删除了主档,但其他地方是否也能一并删除,就是企业很大的挑战。因此,对于个资应用轨迹的掌握,就是非常重要的一环。
关于个资盘点,过去企业在台湾个资法施行时,就已经体认到其重要性。但是,面对更多个资保护的法规遵循需求,以台北101现有的作法而言,在既有的个资保护方式外,他们更是看重个资生命周期的掌握性。
不仅如此,在他们自身订定的个资管理办法中,也能看出他们对于个资盘点的重视,因为他们每年都规定要做两次个资盘点,而这样的频率甚至比稽核频率都要来的高,如此务实的态度,也成为他们能顺利落实个资保护的关键。
遵循法规并重视顾客权利,只要符合规定就能依当事人请求删除个资谈到GDPR的“被遗忘权”,也是近年来欧洲对于隐私保护一再强调的重点。徐家俊表示,对于当事人删除个资的请求,台北101也提供当事人相对应的管道,只要提出的理由合理,就会通过一定的程序,将所有资料删除,包含像是存在系统以及连结到的档案资料库等的当事人个资。
不过,企业若是依据其他法律规定而搜集或使用个资,企业就有权拒绝使用者的删除要求。台北101法务室法务主任李黛苓也补充,像是他们在执行个资盘点时,都会要求同仁列出搜集这项的依据,如果是依法搜集,也会有其保存年限,他们都会在个资盘点的保存期限项目中特别标注。因此,他们也能识别出那些资料是企业有权拒绝删除的。
还有像是将个资应用在数据分析上,台北101在一开始,也就会将相关个资做去识别化,达到无从识别个人资料当事人。
台北101通过新版BS10012:2017个资认证,其主要负责的单位就是台北101法务室,而他们同时也指派法务室经理徐家俊担任DPO一职。徐家俊表示,未来只要是涉及欧洲民众个资的搜集、处理和利用等,都将会有相对应的窗口负责。(摄影/洪政伟)
全体动员,提升内部与委外的个资保护意识与教育训练要让全公司动起来做个资保护这件事,一定有难度,如何让所有同仁认真的个资保护当一回事,并且切实质行,就是挑战。
徐家俊指出,他们对于公司内部同仁会提供相关教育训练,比较值得注意的,是在委外厂商的配合。像是一开始委外厂商对于个资保护的态度,可能觉得不重要也不积极,因此,他们会采引导方式,并将这方面的要求列于委外合约当中,签署保密承诺书,同时每年还要执行一到两次的委外检查,用严谨的方式来规范。另一方面,他们也会告诉对方将此列在后续合作的考量,也就是未来采购时选商的资格评估。通过这样的方式,提升委外厂商对于个资保护的态度。
还有像是面对个资事故通报,如何让每个同仁能有适当的行动方针可以遵循,也很重要。
因此,在台北101本身制订的个资管理办法中,也会告诉同仁在涉及到个资的相关业务,该怎么处理。同时,他们也有简单的任务编组,让各部门都能知道事发当下该如何因应。
李黛苓认为,虽然没办法要求大家对个资管理办法都能倒背如流,但要让同仁能有可以遵循的办法。最简单的原则就是,至少要在接触到个资工作时,公司同仁第一时间知道要跟法务室联络,而他们将会提供相关流程上的建议。
并且,为了让同仁能对于个资管理办法的熟悉度,他们每年会做一次个资相关的测验,并针对不及格者复试与辅导。而这样的测试,不论公司正职员工、约聘人员都要参加,总经理也不例外,未来,他们也希望能扩大推广,要让场域内的保安、清洁人员,都能参与其中。
对此,KPMG谢昀泽也表示,他们还需要定期进行事故通报的演练。像是他们会提供演练脚本与情境,让他们一开始可以试着依照脚本去练习,等到熟悉之后,就会知道事情发生时,该打电话给谁,谁接到电话后要向谁报告,如何处理事件调查反应,以及是否要知当事人,或对外发布新闻稿。
IT单位新使命,新系统上线都要考量资料保护最后,在GDPR的规范中,也将个资保护系统预设要纳入隐私保护,像是Privacy△by△Design(隐私保护设计)或者是Privacy△By△Default(隐私保护预设)这样的概念,对此,台北101也给出他们的答案。
徐家俊表示,过去没有这样的概念,因此系统开发上都是属于事后再去因应,在这次导入新版验证期间的会议上,就有讨论相关事宜,这是他们未来要努力的方向。这也是他们IT单位新的使命,日后只要有新系统上线,或是现有的系统更新版本,就要将这样的概念放进去,将资料保护设计纳入相关系统设计考量。
GDPR的个资盘点分析表范本协助台北101进行BS10012:2017新版认证的安侯建业(KPMG),特别提供了他们新调整的个资盘点分析表范本,帮助台北101在个资盘点时,能以个资生命周期的方式来检视,比过去更能掌握持有个资的动向,而以表中这些盘点分析的项目而言,也等于是提供一个在盘点分析实务上,能够参考的方法。图表来源:KPMG,iThome整理,2018年5月
业务职掌说明??目的说明?管理单位?保有单位?档案形态?遵法说明?告知义务?处理目的?资料接收说明?跨境方式说明?资料来源说明?内外部资料流分析?处理方式说明?再利用说明?个人资料项目?高风险个资?保存期限?销毁方式?存放地点?保管方式?
?
GDPR风险评估表范本因应GDPR迫在眉睫,台湾要评估是否受到GDPR影响企业,可以借由执行风险评估(Risk△Assessment,RA)来衡量,对此,协助台北101通过BS10012:2017转版验证的安侯建业,也提供了相关的RA分析表范本,供企业能有简单的方法可供参考、借鉴。图表来源:KPMG,iThome整理,2018年5月
作业流程风险说明个资档案防护强度分析 法令遵循检视资料流程法令遵循 侵害事件风险分析个资数量统计 ?个资敏感分析 ?资料违规侵害对组织影响分析 ?资料侵害对当事人影响分析 风险说明??
相关:
号称世上最严格的资料保护令GDPR已经在上周5月25日上路,各国大型企业不无严阵以待,就怕触犯该天条,吃上巨额罚款。而使用云端服务的跨国企业,更得要注意,自家服务是否有符合各地法遵要求。而因应GDPR上路,微软近
传说法师怎么扔符文?不少新手朋友们在游戏中不知道要如何正确来使用符文,下面我们就来看一看传说法师扔符文方法介绍一览,希望对还不知道的新手玩家们有所参考和帮助。传说法师扔符文方法介绍:键盘是选中符文按F,
本文给大家带来腐烂国度2遗产卡牌解锁方法,腐烂国度2想要获得各种遗产卡牌,需要达成相应的条件。获得遗产卡牌后,可以提供一定的加成效果。下面分享一些腐烂国度2遗产卡牌解锁技巧。遗产卡片解锁(LeaderLegacyMiss
黑暗之魂重制版是一款全新的动作RPG游戏,不过很多玩家在进入游戏的时候发现游戏默认是窗口模式,也无法设置全屏,那么黑暗之魂重制版不能全屏怎么办?下面小编带来游戏全屏设置方法,希望对大家有所帮助。游戏全屏设
本文给大家带来黑暗之魂重制版全戒指的位置及获取方法介绍,《黑暗之魂重制版》中不同的戒指有不同的效果,并且有些戒指的获取方法比较复杂,一起来看看吧。