GDPR – 真的有這麼嚴重嗎?

2017-12-20

歐盟在2016年推出了歐盟資料保護法,從明年2018年5月25日起,直接適用於所有歐盟會員國。只不過,歐盟也保留空間給各會員國,讓各會員國能夠制訂更嚴格的規定來規範落入各國政府管轄的個人資料收取及處理等活動。

蔡朝安主持律師 / 張馨云副總經理 / 鄧萍玟協理 / 鄭鈺璇律師

最近大家只要打開報雜誌或瀏覽網路新聞,似乎很難避免看到有關歐盟個資保護法(General Data Protection Regulation, “GDPR”)的相關新聞。這套看似可能對台灣企業營運影響不小卻又好像很遙遠的法規到底是何方神聖?

其實歐盟個資保護法是歐盟在1995年所頒佈的個人數據保護指令 (1995個人數據保護指令) 的擴張與延伸,一方面因為1995個人數據保護指令已無法跟上科技發展的腳步,另一方面則是因為1995個人數據保護指令在執行上成效不彰。畢竟,指令的執行需要透過歐盟各會員國進行立法,假如會員國不配合,指令在執行上也就有困難。因此,歐盟在2016年推出了歐盟資料保護法,從明年2018年5月25日起,直接適用於所有歐盟會員國。只不過,歐盟也保留空間給各會員國,讓各會員國能夠制訂更嚴格的規定來規範落入各國政府管轄的個人資料收取及處理等活動。

GDPR所指個人資料為何?

個資,大家一般的理解應該就是個人的身份證號碼/護照號碼、住家地址、電話號碼等。但GDPR對個人資料的定義泛指所有能夠用來直接或間接識別個人的資訊,除了姓名、身份證或護照等證件號碼以外,也包括所在地資訊、線上資訊或一種或多種得以用於識別個人的任何生理、基因、心理、經濟、文化或社會身份等資訊因子。

此外,GDPR更定義了所謂敏感性個人資料,而這些敏感性個人資料包含了任何得以揭露一名個人的種族、政治理念、宗教信仰、工會會籍、健康或性生活、性取向、以及基因資料或生物統計資料等因子。原則上,前述敏感資料在非符合GDPR所列的情況下,企業不得進行使用或處理。

另外要提醒的是,個人的犯罪前科資料雖然未納入上述敏感個人資料的範圍,但在處理上則需符合各歐盟會員國的國家法令。

既然是歐盟的法規,跟台灣企業有什麼關係?

原則上,任何持有或控制以及任何實際處理歐盟個人資料的個人或法人均會受到GDPR的效力所及。換句話說,縱使台灣企業在歐盟完全沒有實體營運,亦必須確保公司內部在取得與處理歐盟居民個人資料的流程符合GDPR的規定。

要確認自己的公司是否會受到GDPR的管轄,首先需檢視:

  1. 公司是否在歐盟境內有實體營運?
  2. 公司是否有銷售商品或服務給歐盟居民?
  3. 縱使公司在歐盟境內並無實體營運,只要公司有銷售商品或服務給歐盟居民(例如網路商店或網路服務),都有可能被認定為受到GDPR的管轄。
  4. 縱使公司在歐盟境內無實體營運亦無透過網路販售商品或服務給歐盟居民,仍然要確認公司是否有因為任何其他原因接收或處理歐盟居民個人資料?
  5. 公司是否有透過網路或任何方式監督歐盟居民的個人行為?

沒錯,這包含了在網路上取得網頁瀏覽者的所在地資料、網頁瀏覽歷史資料 (cookies)等等。

GDPR到底訂定了哪些主要權利與義務?

  1. 事業在處理個人資料前應取得個人真實、有效的同意
  2. 當事業體進行以下活動時,應設置資料保護人員(資料保護官, Data Protection Officer”) 
    • 個資為公家機關所利用時; 
    • 企業活動的內容涉及大量固定及系統性地個資控管 
    • 企業活動的內容涉及大量特種個資的處理(例如種族、政治意見、宗教哲學信仰、工會會員身分、性向或性生活、刑事紀錄等)。 
  3. 歐盟居民針對其個人資料有「被遺忘權」、「更正權」、「資料可攜權」、「不受自動化決策拘束的權力」。
  4. 資料控管者及處理者必須考量現有之技術水準、執行成本、個資侵害妨害個體權利及自由的嚴重性,採取適當、科技化且有組織的措施,確保在處理資料時保有一定程度的安全性。
  5. 個人資料處理上採取適當、科技化且有組織的措施,例如資料處理最小化、匿名化、假名化、加密或刪除。
  6. 跨境傳輸必須遵守GDPR的要求。
  7. 若個人資料需要備份,必須取得當事人同意。

不遵守,又怎麼樣呢?  

違反GDPR的規定是有可能受罰的。企業最高可能被處2,000萬歐元,或前一年度全球營業總額4%罰鍰,視情節輕重,以較高者為準。除此之外,GDPR亦授權各會員國訂定更嚴苛的罰則,有些國家甚至包含刑事責任。

台灣企業該如何因應? 

GDPR明年5月25日才會正式上路,還不急?或是,公司都已經針對台灣個資法做過遵法落差分析也建立了相關法遵系統,應該就夠了吧?其實不然。

GDPR跟台灣的個資法相比較,GDPR管得更寬更廣。因此,符合台灣個資法的規定,並不表示企業一定符合GDPR的規定。

此外,GDPR的遵循,並不表示公司一定就得立刻買一套昂貴的資訊科技系統。GDPR其實著重在整頓公司針對取得與處理個人資料的流程控管。要建置一個GDPR的法遵系統,從進行個資盤點、遵法落差分析、到導入符合GDPR規定的相關個人資料管理流程與系統需要時間 (預估2-10個月不等),如果等到明年5月25日才採取行動,就如同在與歐盟主管機關對賭。與其如此,不如現在就著手為您自己的企業進行下列步驟:

  1. 進行初步診斷來判定自身企業是否可能受到GDPR的管轄。
  2. 若診斷結果認為自身企業應會受到GDPR的管轄,應著手盤點企業哪些部門持有歐盟居民的個人資料,該資料蒐集與保護管理方式。
  3. 就盤點現況進行GDPR 遵法落差分析。
  4. 完成落差分析後,開始研擬需要準備哪些文件、導入哪些制度管理流程與資訊系統以更完善的保護管理個資。
  5. 提早準備,別以鴕鳥心態對待,GDPR就不會是難以承受之重。在這個時間點,尤其建議在歐盟有實體營運的企業,特別是金融服務業、交通運輸業、主攻歐盟市場的媒體社交軟體電商、品牌廠 (OBM) 以及服務供應商等儘早進行GDPR遵法相關內部流程檢視。

Contact us

蔡 朝安
普華商務法律事務所 主持律師
Tel: +886 2 27295200
Email

張 馨云
副總經理 / 資深律師
Tel: +886 2 2729 5200, x23613
Email

鄧 萍玟
協理
Tel: +886 2 2729 5200, x23824
Email

關注我們