2017-12-20
歐盟在2016年推出了歐盟資料保護法,從明年2018年5月25日起,直接適用於所有歐盟會員國。只不過,歐盟也保留空間給各會員國,讓各會員國能夠制訂更嚴格的規定來規範落入各國政府管轄的個人資料收取及處理等活動。
蔡朝安主持律師 / 張馨云副總經理 / 鄧萍玟協理 / 鄭鈺璇律師
最近大家只要打開報雜誌或瀏覽網路新聞,似乎很難避免看到有關歐盟個資保護法(General Data Protection Regulation, “GDPR”)的相關新聞。這套看似可能對台灣企業營運影響不小卻又好像很遙遠的法規到底是何方神聖?
其實歐盟個資保護法是歐盟在1995年所頒佈的個人數據保護指令 (1995個人數據保護指令) 的擴張與延伸,一方面因為1995個人數據保護指令已無法跟上科技發展的腳步,另一方面則是因為1995個人數據保護指令在執行上成效不彰。畢竟,指令的執行需要透過歐盟各會員國進行立法,假如會員國不配合,指令在執行上也就有困難。因此,歐盟在2016年推出了歐盟資料保護法,從明年2018年5月25日起,直接適用於所有歐盟會員國。只不過,歐盟也保留空間給各會員國,讓各會員國能夠制訂更嚴格的規定來規範落入各國政府管轄的個人資料收取及處理等活動。
個資,大家一般的理解應該就是個人的身份證號碼/護照號碼、住家地址、電話號碼等。但GDPR對個人資料的定義泛指所有能夠用來直接或間接識別個人的資訊,除了姓名、身份證或護照等證件號碼以外,也包括所在地資訊、線上資訊或一種或多種得以用於識別個人的任何生理、基因、心理、經濟、文化或社會身份等資訊因子。
此外,GDPR更定義了所謂敏感性個人資料,而這些敏感性個人資料包含了任何得以揭露一名個人的種族、政治理念、宗教信仰、工會會籍、健康或性生活、性取向、以及基因資料或生物統計資料等因子。原則上,前述敏感資料在非符合GDPR所列的情況下,企業不得進行使用或處理。
另外要提醒的是,個人的犯罪前科資料雖然未納入上述敏感個人資料的範圍,但在處理上則需符合各歐盟會員國的國家法令。
原則上,任何持有或控制以及任何實際處理歐盟個人資料的個人或法人均會受到GDPR的效力所及。換句話說,縱使台灣企業在歐盟完全沒有實體營運,亦必須確保公司內部在取得與處理歐盟居民個人資料的流程符合GDPR的規定。
要確認自己的公司是否會受到GDPR的管轄,首先需檢視:
沒錯,這包含了在網路上取得網頁瀏覽者的所在地資料、網頁瀏覽歷史資料 (cookies)等等。
違反GDPR的規定是有可能受罰的。企業最高可能被處2,000萬歐元,或前一年度全球營業總額4%罰鍰,視情節輕重,以較高者為準。除此之外,GDPR亦授權各會員國訂定更嚴苛的罰則,有些國家甚至包含刑事責任。
GDPR明年5月25日才會正式上路,還不急?或是,公司都已經針對台灣個資法做過遵法落差分析也建立了相關法遵系統,應該就夠了吧?其實不然。
GDPR跟台灣的個資法相比較,GDPR管得更寬更廣。因此,符合台灣個資法的規定,並不表示企業一定符合GDPR的規定。
此外,GDPR的遵循,並不表示公司一定就得立刻買一套昂貴的資訊科技系統。GDPR其實著重在整頓公司針對取得與處理個人資料的流程控管。要建置一個GDPR的法遵系統,從進行個資盤點、遵法落差分析、到導入符合GDPR規定的相關個人資料管理流程與系統需要時間 (預估2-10個月不等),如果等到明年5月25日才採取行動,就如同在與歐盟主管機關對賭。與其如此,不如現在就著手為您自己的企業進行下列步驟: