作者:本文轉載「CIO IT經理人」雜誌 2018年4月號 NO.82 Page46
歐洲隱私權法律--一般資 料保護規定( G e n e r a l D a t a Protection Regulation, GDPR),即將 於2018年5月25日生效。依此規 定,企業若未遵循該法規要求, 主管機關得進行調查,最重可裁 處企業「2,000萬歐元」或該年度 「全球營業額4%」的罰鍰(取其 高者),本文說明企業展現GDPR 合規性之幾項可行途徑與相關 PIMS(personal information management system)國際標準。
本文提及的國際標準所指為經 各國投票同意而公告發行的ISO國際 標準(International Standard),和坊間 誤以為國外標準就是國際標準的認 知是不同的,國外標準或其它國家 的國家標準(如加拿大CAN、英國 BS、德國DIN等)在國際上並不被 稱為國際標準。
GDPR適用對象
依 GDPR Article 3 Territorialscope 規範,GDPR適用對象說明如 下:
1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.
● 台灣的銀行在歐洲設立的分行, 無論其蒐集的個資是在歐盟境內處理或境外(如台灣)處理,都 要受到規範。
2. This Regulation applies to theprocessing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: ( a ) t h e o f f e r i n g o f g o o d s o r services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or
● 在台灣設立的線上訂票或購物 網站,提供歐盟境內自然人訂 票或訂購商品;或是台灣將電 子產品銷售至歐洲,並提供產 品註冊及相關售後服務者; 或是提供付費/或免費的 I O S / A n d r o i d App,只要會蒐集或 處理歐盟境內自然人相關個資 者。
(b) the monitoring of their b e h a v i o u r a s f a r a s t h e i r behaviour takes place within the Union.
● facebook蒐集歐盟境內自然人相 關社交行為;線上支付系統如 提供歐盟境內自然人使用之相 關支付管理;或是使用cookie來 紀錄使用者瀏覽行為之網站… 等,只要會蒐集歐盟境內自然 人相關行為者。 如表1示意,此法規不僅適用 在歐盟境內設立公司的企業,即使 未在歐盟設立公司,只要會蒐集或 處理到歐盟境內自然人相關個資 (如姓名、地址、GPS位置、通訊 錄等),都要受到規範,而且要依 Article 27 在歐盟指派一代表。惟表1右下,歐盟自然人不在歐盟時 (如德國居民派駐在台灣工作)的 個資蒐集或處理是否受到GDPR規 範,目前仍屬灰色地帶。
●全文轉載內容(PDF)