GDPR – 真的有這麼嚴重嗎？

既然是歐盟的法規，跟台灣企業有什麼關係？

原則上，任何持有或控制以及任何實際處理歐盟個人資料的個人或法人均會受到GDPR的效力所及。換句話說，縱使台灣企業在歐盟完全沒有實體營運，亦必須確保公司內部在取得與處理歐盟居民個人資料的流程符合GDPR的規定。

要確認自己的公司是否會受到GDPR的管轄，首先需檢視：

1. 公司是否在歐盟境內有實體營運？
2. 公司是否有銷售商品或服務給歐盟居民？
   縱使公司在歐盟境內並無實體營運，只要公司對歐盟居民販售商品或服務（例如網路商店或網路服務），都有可能被認定為受到GDPR的管轄。
3. 縱使公司在歐盟境內無實體營運亦無透過網路販售商品或服務給歐盟居民，仍然要確認公司是否有因為任何其他原因接收或處理歐盟居民個人資料？ 
4. 公司是否有透過網路或任何方式監督歐盟居民的個人行為？

沒錯，這包含了在網路上取得網頁瀏覽者的所在地資料、網頁瀏覽歷史資料 (cookies)等等。

GDPR到底訂定了哪些主要權利與義務？

1. 事業在處理個人資料前應取得個人真實、有效的同意
2. 當事業體進行以下活動時，應設置資料保護人員（資料保護官, Data Protection Officer”） 
   • 個資為公家機關所利用時； 
   • 企業活動的內容涉及大量固定及系統性地個資控管 
   • 企業活動的內容涉及大量特種個資的處理(例如種族、政治意見、宗教哲學信仰、工會會員身分、性向或性生活、刑事紀錄等)。 
3. 歐盟居民針對其個人資料有「被遺忘權」、「更正權」、「資料可攜權」、「不受自動化決策拘束的權力」。
4. 資料控管者及處理者必須考量現有之技術水準、執行成本、個資侵害妨害個體權利及自由的嚴重性，採取適當、科技化且有組織的措施，確保在處理資料時保有一定程度的安全性。
5. 個人資料處理上採取適當、科技化且有組織的措施，例如資料處理最小化、匿名化、假名化、加密或刪除。
6. 跨境傳輸必須遵守GDPR的要求。
7. 若個人資料需要備份，必須取得當事人同意。

不遵守，又怎麼樣呢？　　

違反GDPR的規定是有可能受罰的。企業最高可能被處2,000萬歐元，或前一年度全球營業總額4%罰鍰，視情節輕重，以較高者為準。除此之外，GDPR亦授權各會員國訂定更嚴苛的罰則，有些國家甚至包含刑事責任。

台灣企業該如何因應？　

GDPR明年5月25日才會正式上路，還不急？或是，公司都已經針對台灣個資法做過遵法落差分析也建立了相關法遵系統，應該就夠了吧？其實不然。

GDPR跟台灣的個資法相比較，GDPR管得更寬更廣。因此，符合台灣個資法的規定，並不表示企業一定符合GDPR的規定。

此外，GDPR的遵循，並不表示公司一定就得立刻買一套昂貴的資訊科技系統。GDPR其實著重在整頓公司針對取得與處理個人資料的流程控管。要建置一個GDPR的法遵系統，從進行個資盤點、遵法落差分析、到導入符合GDPR規定的相關個人資料管理流程與系統需要時間 (預估2-10個月不等)，如果等到明年5月25日才採取行動，就如同在與歐盟主管機關對賭。與其如此，不如現在就著手為您自己的企業進行下列步驟：

1. 進行初步診斷來判定自身企業是否可能受到GDPR的管轄。
2. 若診斷結果認為自身企業應會受到GDPR的管轄，應著手盤點企業哪些部門持有歐盟居民的個人資料，該資料蒐集與保護管理方式。
3. 就盤點現況進行GDPR 遵法落差分析。
4. 完成落差分析後，開始研擬需要準備哪些文件、導入哪些制度管理流程與資訊系統以更完善的保護管理個資。
5. 提早準備，別以鴕鳥心態對待，GDPR就不會是難以承受之重。在這個時間點，尤其建議在歐盟有實體營運的企業，特別是金融服務業、交通運輸業、主攻歐盟市場的媒體社交軟體電商、品牌廠 (OBM) 以及服務供應商等儘早進行GDPR遵法相關內部流程檢視。