Skip to Menu Skip to Search 與我們聯繫 Taiwan 網站 & 語言 Skip to Content

「歐盟資料保護規範」(General Data Protection Regulation,以下簡稱GDPR)已在2016年4月27日由歐洲議會修法通過,新法規定有2年之過渡期,讓歐盟各國對新修正規則可做好準備,新法將於2018年5月25日起全面實施。

GDPR雖尚未全面施行,但歐盟各成員國已開始陸續規劃其國內之配套法規及執行方式,為確保組織之個人資料管理制度能適度調整以符合歐盟主管機關之要求與期待,並讓產品與服務能持續在歐洲地區合法銷售與提供,組織可考慮參酌第三方獨立公正單位(如:SGS)來協助進行差異分析或辦理法規遵循性查核,以做為後續調整並強化組織個資管理相關作業流程管控機制之參考。

在調整個資管理制度時,應從組織全景著手,並先確認是否已進行「適用法規盤點」、「作業及特定目的盤點」、「個人資料盤點」、「資料流分析」以確認組織是否將整體之法規風險及作業風險皆已納入考量;其次應進行資料保護衝擊評鑑、調整個資保護相關管理措施及作業程序、維持個資管理制度之運作與持續改善,並應配合辦理教育訓練與宣導活動,提升組織所有同仁對GDPR之認知。

GDPR之新增要求重點摘要說明如下:

  1. 組織必須設置資料保護官(DPO)
    為確保組織能有效遵循法規,GDPR要求組織必須設立資料保護官(DPO)。此一職位並必須有效依法履行職責,並需擔負一定程度的法律責任。
  2. 個人資料(personal data)之定義較廣
    GDPR將「個人資料」擴大解釋為涵蓋可直接或間接識別出特定當事人之資料類型,例如:網路IP位址、網頁瀏覽器Cookies、RFID標籤或足以辨識特定個人身分之基因、生物特徵(如臉部辨識、指紋等)或健康資料等。
  3. 個資蒐集處理前,必須獲得當事人明確同意
    GDPR要求個人資料之取得及處理,須事先獲得個資當事人明確同意(clear affirmative action),尤其針對特種個資(special categories of personal data)更必須明確清楚(explicit)。未滿16歲兒童或青少年個資之取得及處理,應事先獲得父母或監護人之同意。
  4. 個資當事人之權利,增加新的要求

    • 被遺忘權(Right to be forgotten):
      除了資料不正確或不完整外,有其他理由時(例如:資料當事人已經撤回同意、非法處理個人資料等情形),個資當事人可要求組織刪除其所掌控之個人資料。例如:要求搜尋引擎業者從包括過期或不相關的個人資料搜尋結果中移除連結。
    • 資料可攜權(Right to data portability):
      讓歐盟居民能在不同服務間移動個資的權利,用戶可以將其個人資料從一個網路服務業者(需提供機器可讀的格式)轉移至其他業者。
    • 反對權(Right to object):
      個資當事人有權在特定情況下,反對資料之處理,除非該組織能證明處理該資料有重大正當理由,勝過個資當事人之基本權利與自由。反對權亦適用於以大量個人資料所自動化產生之剖繪(profiling)活動。

GDPR對在歐盟境內從事商業活動之外國公司而言影響重大,對提供歐盟居民產品或服務但不在歐盟境內之跨國性公司或組織亦有相當之影響,惟有及早瞭解相關規定並研擬因應對策,對任何組織在歐洲拓展業務都極大的幫助,尤其違法之罰鍰最高可達年營業額2%至4%之譜,因此尋求第三方獨立公正單位來協助進行差異分析或辦理法規遵循性查核,以節省自行摸索時間並避免無效之資源浪費,是組織現階段可以考慮採行之有效方式之一。