不列颠船东责任互保协会传阅通告公元7月31日理赔案处理.doc

不列颠船东责任互保协会 传阅通告 公元2018年7月31日 理赔案处理作业落实「通用资料保护规则」（以下称GDPR或「保护规则」）说明 本传阅通告发送之目的为向协会成员、驻地联络员及其他人员提供GDPR相关指引，减少触法风险。本文并说明本协会之个资处理作业即将施行的各项修正。 对不列颠船东责任互保协会而言，人员相关的保险理赔案（例：船员或乘客的疾病给付和人身伤害理赔）是个资安全保障目标里最具挑战性的层面。 资料最小化原则 (data minimisation) 和隐私保护设计 (privacy by design) 在GDPR规范下，不列颠船东责任互保协会应认定为个资控管人，有证明其作业符合GDPR规定的义务。是故，为贯彻GDPR规范架构的主要原则「资料最小化(data minimisation)」和「从设计着手保护隐私(privacy by design)」（以下称「隐私保护设计」） ，本协会计划推行以下措施： 对经惯例作业流通的个资量加以限制 加强利用现有科技，确保个资移转作业的安全性 尽可能使个资匿名化 由于电子邮件寄送名单持续增长之故，若有人在邮件讨论串的收件人名单里插入不该存在的收件人，往往难以察觉。再者，现在电子邮件诈骗横行，伪装成业内人士发送讯息的情况屡见不鲜。诈骗犯的意图多半是诈取金钱利益，但响应诈骗邮件的行为本身也会导致不列颠船东责任互保协会持有之个资外泄的后果。 处理疾病给付或人身伤害请领案的作业过程往往需要在很短的时限内与世界各地的协会成员、驻地联络员、供货商等人交换敏感个资。在这种情况，清楚理解并落实GDPR规范原则的重要性益发显著。 由于协会成员、经纪人、外部服务供货商（例：驻地联络员、海事检验人员、学者专家）本身就是资料控管人，因此本协会就个资相关事务归纳出优良操作指南，并整理成以下十项要点供读者参考： 尊重 – 推己及人，对他人个资保持尊重的态度。 2. 尽可能减少电子邮件传输或纸笔纪录的个人资料量 – 个资产生和流通量越小就越容易保护。敬请将个资寄送范围限制在为处理理赔案之必需者。 3. 网络安全 – 请确认计算机系统的安全性无虞，在寄送内含护照信息、医疗报告、雇佣契约等资料的附件档案时应使用安全保护措施，例如：设定密码并透过安全邮件服务器寄送。本协会使用强制加密装置或入口网站保护资料安全。 4. 匿名化 – 请以识别符号（例：船员、经纪人、检验人员）代替个人姓名和生日。也可考虑采用其他如船名、事件性质、启航港等识别符号搭配案件参号作资料识别。这种模式可套用在电子邮件的主旨标题和内文，并在可行的前提下扩大应用到理赔案的所有相关证明文件。若作业上遇到别无选择必须明示姓名的情形，我们建议同份文件内与该姓名相关的识别信息应越少越好。本协会未来包括理赔案件说明在内的通讯文书也会套用这种模式。我们的目标是推行新操作模式之后，除了直接负责处理理赔案的作业人员以外，其他人无从辨识该案当事人的身份。 5. 重新撰写 – 如果作业人员实在无法避免说出特定人士的身份，那应就在该次通讯内完成识别，之后再重新撰写一封新的电子邮件，以免个人资料在信件来往的讨论串里重复出现。 6. 「全部回复？」-- 在使用「全部回复」的功能之前，请先检查收件人名单，确保名单内所有人员都具备阅读该封邮件的相关权限。 7. 使用业务用电子邮件地址：请勿使用非业务用的私人或其他不安全的电子邮件账号。 8. 净空并上锁 – 离开办公桌时，请将桌面净空，电脑萤幕上锁。纸本资料须以安全的方式弃置。 9. 了解GDPR规范 – 请费心研究GDPR规范在贵公司商务上应如何应用及违反规定时的相关罚则。 10. 传播指南内容 – 请向贵组织的每位人员宣传本指南内容。 上述安全保护措施可将不列颠船东责任互保协会和协会成员在处理个资时所面对的风险降至最低，故本会建议读者采用以上措施，并推行其他适合贵组织的相关因应方案。 GDPR对欧盟/ 欧洲经济体 (EU/EEA) 境内与境外聘雇的海员之域外效力 本文的「EU/EEA」是指歐洲經濟體 (EEA)，由歐盟成員國和歐洲自由貿易聯盟 (ETFA) 三個成員國 (冰島、列支敦斯登、挪威) 組成。 「GDPR通用规范」为题的通讯中曾说明GDPR的适用对象为在欧盟 (EU)/欧洲经济体 (EEA) 境内设有营业据点且作业内容包括处理住在EU/EEA境内的EU/EEA籍自然人个资之船舶所有人(owner)、租佣船人(charterer)和／或其经理人。例如，船舶所有人将管理部门设在希腊，并指定希腊籍的高阶主管到旗下船舶任职，这些人员的个资即属GDPR保护范围。 GDPR在特定条件下具备域外效力。资料源为EU/EEA境内但移转至EU/EEA境外的情形即为一类。符合下列条件之一的船员招募作业即是用GD