對不少企業來說,5月25日是一個重要的日子,因為有「史上最嚴格個資保護法」之稱的歐盟通用資料保護規則(GDPR)將正式上路。據了解,非官方的初步估算上市櫃企業就有上百家直接受到影響,違規者恐怕被罰年營業額的4%,政府也不敢大意,目前國發會已成立專案小組組織跨部會協調工作。
全歐洲資料保護長的職缺上看2萬8千人
行政院在1月時召開過內部會議,目前國發會也出面主導,近期會再協調相關部會研議。首當其衝的金融業,金管會主委顧立雄25日表示,為了因應GDPR,6家在歐洲有設立據點的台灣銀行、兆豐銀、第一銀、合庫、彰化銀、華南銀,都必須設立「資料保護長」(DPO),「不希望到時又違反規定被鉅額罰款。」
其實根據規定,只要企業的核心業務有涉及到對歐盟民眾的個人資料處理的話,不論公司規模的大小,都必須要設置一個類似風控單位的「資料保護長(DPO)」,負責相關制度的建立、檢察和通報,一旦後續企業違反相關規範的話,資料保護長也要被追究相關法律責任。
勤業眾信風險管理諮詢的執行副總經理張益紳表示,雖然企業可以委外找專業機構來做,不過由於這是一個新興的職業,光是在歐洲需求的缺口就高達2萬8000千人,但這只是其中一項GDPR的重點而已,企業首先必須要重新盤點所有有關個人資訊的過程和系統。
立勤國際法律事務所主持律師黃沛聲強調,對企業來說遵法的成本雖然一定會提高,但從國際趨勢中也可以發現,在未來個資就像是專利一樣,這不僅僅是成本考量,也是企業的資產,一定會有愈來愈多新的型態必須要去重新定義。
台上市櫃公司至少百家以上受到影響
據了解,歐洲方面已經開始運作,愈來愈多企業開始接到歐洲分公司反應客戶的要求,較有危機意識的企業多數在去年年底就著手盤點檢查,但確實也還有企業反應比較慢,以時程來看「現在才開始是有點來不及。」
專家認為,罰鍰雖然不太可能在一實施就開鍘,但從歐盟2018年才取代1995 年通過的的資料保護指令來看,預計新法規至少會再運作10年以上,企業遲早都得進行評估。
張益紳說,在歐洲有設立當地分支機構的企業來說,違規就會被直接處以罰緩,另一方面,如果是提供遠端服務或商品的電商來說,恐怕還會被以貿易制裁的方式處罰,並不得作跨境傳輸,簡單來說就是不能再賣商品給歐洲的公民。
根據統計,以企業最高能被罰到全球營業額的4%計算,一般富時100在內的企業全球營業額4%就高達2.5億美元,所帶來的衝擊不容小覷。GDPR帶來的挑戰還有賦予個人7項權利,因此對企業來說,資料當事人除了可以主張把資料刪除外,甚至也可以把資料轉交給企業的競爭對手。
