如果今天銀行行員錯誤將你的銀行存款數字告訴他人時,會觸犯什麼法規?歐洲如何處罰洩漏個資銀行?看完後此篇文章後將更了解GDPR,以及我們的個資需要什麼樣的保護.

背景事實

一名居住於西班牙境內的租屋客透過銀行臨櫃的無摺存款功能繳交該月的租金,並向銀行行員索取存款收據以將該收據傳送給房東,該銀行行員竟錯誤將載有房東存款金額的收據提供給租屋客,租屋客因此得知了房東的存款金額。

歐盟GDPR保護房東權益

雖然租客知悉房東存款數字,並沒有造成房東任何實際上的損害,房東存款的數字並沒有因此減少,租客也沒有獲得房東帳戶的密碼等,看起來房東並沒有任何權益受損,房東存款數字被洩漏也並不代表房東的人身自由、財產自由被侵害,然而真的就代表銀行的行為並沒有侵害任何人的權益嗎?

處於重視資訊隱私權的時代,資訊不被人任意的知悉是基本的權益.因此西班牙個資保護主管機關也針對該家銀行罰款達8萬歐元.

西班牙個資保護機關處罰依據

處罰根據1 –違反【完整性及保密性】

(f) processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).

Article 5(1)(f) GDPR

GDPR要求個資控制者以及處理者必須採取適當的安全措施,以避免包含任何非經授權、違法的處理,也同時需要採取措施避免任何意外的遺失資料以及毀損,並且需要應用技術上以及組織上的方式.

西班牙個資保護主管機關認為此間銀行,並沒有盡到作為個資控制的者的義務,也沒有盡到保密性的要求,違反Article 5(1)(f) GDPR,因此對於此項違規事項處罰5萬歐元。

處罰根據2-違反【技術以及組織上安全性】要求

Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:

Art 32 – Security of processing

GDPR要求組織必須要採取技術上以及組織上的措施來保障個資安全,這看起來相當抽象,可以用以下的例子說明:
資料加密化或隱名化-這包含資料透過雜湊方式儲存或是輸出資料實在沒有特別指令下都採取***隱名方式呈現
資料外洩防護措施-取得資料時要經過多重驗證,避免駭客或他人可知道一組帳號密碼後就可以直接取得相關的個人資料。

西班牙個資保護主管機關認為此間銀行,開放臨櫃無摺存款的業務,本可以預料到他人來進行存款索取收據,但是並沒有設計好流程保護存戶的個人資料,銀行機制上一開始就不應該出現存款數字,就算要有存款數字的收據時需要經過本人授權或驗證的設計,來避免存款數字外洩,因此西班牙主管機關再處罰3萬歐元。

如果發生在台灣呢?

台灣個資法處罰未若歐盟GDPR嚴格,但是在此案中台灣個資法同樣規定「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」並且針對違反此條的非公務機關(也就是民間企業)可處罰兩萬至二十萬。

小結

個人資料處理需要從公司作業流程起就開始設計,必須要帶著個人資料處理的設計腦來規劃整體的作業。否則一個不經意的地方洩漏個資不僅影響商譽,更會受到主管機關處罰。

如果你想更了解歐盟GDPR可參考以下連結

GDPR條文:https://gdpr-info.eu

歐盟官方直屬機構認證課程(有中文字幕):https://pinkrose.info/2xweI

線上課程(2.5hr):https://tinyurl.com/29tuhnb7