歐盟個人資料保護規則(GDPR)上路,國內銀行業者對於新規定適用上仍有不少困擾。
歐盟個人資料保護規則(GDPR)上路,國內銀行業者對於新規定適用仍有不少困擾,包括大量處理歐盟居民個資須受規範,何謂「大量」?還有歐盟各會員國仍有自訂規範空間,未來會如何執行仍不明確。
GDPR上周五正式上路,在歐盟設有據點的國內金融業都已依規定做好準備,不過,銀行業者表示,後續實際執行上,不論在歐盟有無設點者,仍存有四大困擾。
包括第一,未在歐盟未設點的銀行,若大量處理歐盟居民個資,仍須受GDPR規範,包括必須在歐盟境內設立資料保護代表人(DPR)等,但何謂「大量」,至今並無明確標準。
第二,目前多數執行標準尚未出爐,很多項目仍不具體,例如在當地設點的銀行,是否一定要設資料保護長(DPO),還是設專責人員或窗口也可?業者表示,GDPR是最低標準,也賦予歐盟廿八個會員國實際裁量空間,執行時可自訂更具體、甚至更嚴格的標準。目前僅德國已有規定,至於國內金融業設點最多的英國,則尚未出爐。
後續要關注的,除了「大量」等認定標準更具體外,還有像個資外洩的通知,或有無刑責規定等,都委由各國制訂,須留意各國作法。
第三、在歐盟未設點的銀行,歐盟居民的認定到底是採屬地或屬人,雖多數認為屬地,但依舊有兩派說法。
業者說,若以屬地主義來看,例如德國人在台灣開戶,不適用GDPR;但他回國後,資料仍傳輸到台灣總行時,才有適用GDPR問題。
第四、銀行都有網路銀行,未設點者如何認定對歐盟居民提供商品或服務,多數顧問認為要看有無「意圖」若有意對歐盟人提供商品,就須適用GDPR。但台灣的歐盟居民客戶,回到歐洲後,若繼續與台灣的總行往來,如何適用也可能是未來潛在困擾。
資料來源:https://udn.com/news/story/7243/3165656