企業該如何因應個資法與歐盟GDPR?

個人資料保護法上路

在網路資訊發達的時代,以前不看重個資的後果,以致於個人資料洩露被有心人士、詐騙集團使用,或是常常接到各種推銷、行銷廣告、保險、借貸的電話,而這些個資,到底是從哪裡流出去?是網路購物平台、賣家資料庫被竊取?或是網路傳遞被惡意攔截?

而在台灣以前是電腦處理個人資料保護法,在99年4月27日完成三讀,同年5月26日公佈修法為個人資料保謢法,於101年10月1日起實施,主要修正重點如下:

個資法GDPR
個資法GDPR該如何因應?
  1. 擴大保護客體:落實對個人資料之保護,不再以經電腦處理為限,將名稱修正為「個人資料保護法」。
  2. 普遍適用主體:刪除行業別限制,涵蓋任何自然人、法人 或團體。
  3. 增修行為規範:嚴格限制醫療、基因、性生活、健康檢查、 犯罪前科等五類特種資料之蒐集、處理及利用;增修個人 資料蒐集、處理與利用之合法要件、告知義務、書面同意 意涵、個資外洩通知、拒絕接受行銷權利等規範。
  4. 強化行政監督:明訂中央目的事業主管機關與地方政府之 行政檢查權,違法者得裁處罰鍰與行政處分。
  5. 促進民眾參與:增訂財團法人與公益社團法人提起團體訴 訟之相關規定。
  6. 調整責任內涵:提高意圖營利犯罪刑度、領域外犯罪適用、 提高損害賠償總額、提高非公務機關罰鍰額度及代表人、 管理人或其他有代表權人之併罰。
  7. 除外適用條款(豁免本法適用)。

瞭解個資保護法目的與影響

而企業面對台灣個資保護法、歐盟GDPR,使用ERP客戶應該如何做因應?這會不會讓企業無法做準備?或是企業認為這與自己無關呢?

其實沒有人可以成為局外人,只要是使用系統資料庫裡有員工基本資料,有個人資訊,企業要如何防止資料輸出時可以加密?若是覺得此法與我無關,後續的嚴重性將不只是金錢上罰款2萬~100萬不等,重傷的是企業用心經營多年形象、名譽受損。

  • 何謂個資定義?
    個人資料指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
  • 個資保護法的目的為何?
    由於個人資料保護法第 1 條開宗明義表示:「為規範個人資料之 蒐集、處理及利用,避免人格權受侵害,並促進個人資料之合 理利用」,故本法對個人資料的蒐集、處理或利用,係兼顧「個人的隱私權保護」及「合理利用」。

歐盟GDPR對台灣企業的影響

歐盟GDPR是什麼?全稱(General Data Protection Regulation, GDPR)於2018年5月25日正式實施上路,歐盟公民將開始享有其個人資料從網路上全面消失的的權利,又被稱為「被遺忘權」,GDPR是個規範,它不需要各國政府立法授權,並且直接適用。

在台灣只要接觸到歐盟公民並擁有他們的個資,那麼就適用於GDPR規範,影響的範圍包括:企業的員工、客人、廠商,只要是屬歐盟公民,就有權力,一旦沒有妥善處理個資或個資外洩,需要在72小時內通報給資料保護主管機關(Data Protection Authority),如果沒有執行個資保護風險評估、沒有即時通報、違法向第三國傳輸個資。一旦違反以上狀況,會被處以2 千萬歐元(約新台幣7億元)或全球總營業額4% 的罰鍰。

L公司透過正航ERP有效強化資訊安全

L有限公司(以下簡稱L公司)成立於2008年7月,公司營運早期是進口舶來品,一開始只有精品,後來發展到食品,2010年公司轉型代理亞洲電器商品、生活用品、化妝品、保養品、吃的用的穿的商品五花八門,第二代負責人剛接起家裡的事業,在商場上是吃盡了苦頭,商務行銷通路由門市轉戰網路銷售,成立會員制度,會員廣佈全球、銷售量、營業額逐年成長。

一開始在資訊安全,深受駭客攻撃,在會員網站上客戶購買資訊被竊取以致消費者深受困擾,雖然L公司在官網上公告小心詐騙、也主動發訊息與email給告知消費者,但企業應盡到資訊保密到底算不算是企業應盡義務責任呢?

有了前面的慘痛經驗,L公司在資訊安全保密無論是硬體軟體下足十二萬分功夫,由於資訊變革,L公司在轉換ERP系統,非常看重資料庫保密個資,導入一套HR人事系統和進銷存系統,L公司看重的不僅是員工資料的個資保密,在廠商與客戶資料也是不希望有員工可以把資料帶走,在ERP系統,正航提供哪些解決方案給客戶呢?。以下是最常見的議題:

  • 企業如何知道流程中哪些環節會使用個人資料?
  • 如何預防個人資料外洩?
  • 如何保留相關稽核記錄?
  • 企業是否無故意或過失責任? 採行適當的措施? 如何提出證明?

企業要做好的11項安全維護措施

  1. 配置管理之人員及相當資源
  2. 界定個人資料之範圍
  3. 個人資料之風險評估及管理機制
  4. 事故之預防、通報及應變機制
  5. 個人資料蒐集、處理及利用之內部管理程序
  6. 資料安全管理以及人員管理
  7. 認知宣導及教育訓練
  8. 設備安全管理
  9. 資料安全稽核機制
  10. 使用紀錄、軌跡資料及證據保存
  11. 個人資料安全維護之整體持續改善

正航ERP個資強化解決方案

  1. 授權管理:權限設置、誰允許查詢、維謢、輸出個資資料
  2. 職能分工:個資權限依角色設定、新角色進行個資欄位控管。
  3. 分層負責:依個資權限角色顯示個資、人員交易單據/查詢控管、報表列印控管、資料excel輸出控管。
  4. 稽核軌跡:異動記錄查詢、個資被查詢時間/人員、個資被列印時間/人員。
  5. 資料庫匯出工具:進行自動遮蓋機敏資料後,才匯出資料庫。

深入了解 權限控管 在軟體端的應用

若想對 企業權限控管 有更深入的了解,歡迎您與正航聯絡瞭解更多…

產品詢問