沒在歐洲設廠企業就免受 GDPR 限制?送老闆們一份自我檢查用的懶人包!

【我們為什麼會挑選這篇新聞】被稱為史上最嚴格個資法,歐盟個資保護新法(GDPR)雖然在 5 月 25 日已經上路,但還有許多人對 GDPR 還有一些不明白 ,只是幫忙企業資料處理的業者完全沒風險嗎?只要沒有在歐洲設廠企業就安全了嗎?

其中若不小心發生讓客戶資料外洩,將面臨歐盟針對企業開罰年營業額  4%,或是最高達 2000 萬歐元(約為台幣 7.09 億元)的罰鍰,不想被罰的企業,看完這篇懶人包一次懂。(責任編輯:鄧天心)

作者:策會科法所法律研究員 何念修

歐盟一般資料保護規則(或稱歐盟個人資料保護規則,General Data Protection Regulation,GDPR)將於 2018 年 5 月 25 日正式生效。這句話對金融業、航空業、電信業等跨國企業的法律遵循人員也許並不陌生,但是各位可能會想問的是:GDPR 到底是什麼?GDPR 跟我有什麼關係?我為什麼要瞭解它?本文將以幾個 QA 帶各位快速認識 GDPR。

什麼是 GDPR?

簡單來說,GDPR 是歐盟頒布的一般資料保護規則,屬於歐盟法規的一環,其規範目的在於保護歐洲經濟區(the European Economic Area, EEA)境內民眾隱私與個資,使其免於個資遭受不當利用的影響。

誰會受到 GDPR 的規範拘束?

歐盟頒布的 GDPR 目的在於「保護 EEA 境內居民的個資」,原則上適用於 EEA 境內,但是現今科技發展下,EEA 居民的個資不僅在 EEA 境內被蒐集、處理及利用,也常常透過網路跨境傳輸到其他國家,在他國境內被蒐集、處理、利用。歐盟為了完美達成 GDPR 的立法目的,特地於立法時賦予 GDPR「域外適用性」(extra-territorial applicability)。

依據 GDPR 第 3 條之規定,原則上,在 EEA 設有據點之組織(包含企業、官方機關、非營利團體),據點包括母公司、子公司、分公司及派駐有業務人員之事務所,均適用之。

例外則是處理資料的組織位於境外之情況,若該組織提供商品或服務給 EEA 之資料當事人(含實體銷售或網路銷售),而有蒐集 EEA 公民的個資時,也適用 GDPR 的規定。

再者,根據 GDPR 第 4 條之規定,GDPR 的規範對象分為以下兩種類型:

(一)資料控管者(Data Controller),係指掌握個人資料,並決定處理個人資料之目的、條件與方法者,如蒐集、處理或利用 個資之企業

(二)資料處理者(Data Processor),其依據資料控管者的指示而為實質處理資料者,如 受委託之資料處理業者

在此特別說明,依 GDPR 第 4 條定義,「處理」係指對個人資料或個人資料檔案執行任何操作或系列操作,不問是否透過自動化方式,例如收集、記錄、組織、結構化、儲存、改編或變更、檢索、查閱、使用、傳輸揭露、傳播或以其他方式使之得以調整或組合、限制、刪除或銷毀,故其意義已包含我國個資法之蒐集、處理或利用。

綜上所述,我國企業無論在 EEA 境內是否設有子公司、分店、辦事處等據點者, 倘有處理 EEA 境內居民之個人資料,且不論資料處理是否於 EEA 境內進行,均適用 GDPR 規範

又,倘國內母公司欲透過在歐盟分支機構將蒐集之 EEA 境內民眾個人資料,傳回我國,或要把資料傳輸到其他資料處理公司(無論是否位於台灣境內),此時我國企業作為資料控管者,或甚至委外予資料處理者,仍屬 GDPR 的適用範圍。

GDPR 施行之後,最大的影響為何?

對於我國企業或 IT 從業人員來說,GDPR 將會大幅度地影響資料的跨境傳輸。但依 GDPR 相關規範,如涉及 EEA 境內民眾個人資料之跨境傳輸係原則禁止,例外始得為之。跨境傳輸須符合以下四種情形始為合法的傳輸:

  • 要件一:經執委會評估後決定資料傳輸之目的地第三國之相關法律制度對個人資料有充分保護者:
  1. 依據 GDPR 第 44 條及第 45 條相關規定,個人資料之移轉必須遵循 GDPR 規範,且若個人資料移轉至第三國時,僅於歐盟執委會決定該第三國對個人資料有「充足保護」時,方得為之。
  2. 至於所謂充足保護之評估,包括但不限於:該國對法治、人權與基本自由之尊重;資料當事人之權利與其行政與司法救濟等規範;是否有獨立監管機關,且該機關是否有效運作等(參見 GDPR 第 45 條)。
  • 要件二:資料控管者或處理者提供適當保護措施,且資料主體之權利得為執行,並具備有效權利救濟者:
  1. 所謂適當保護措施,包括:符合有拘束力之企業守則(Binding Corporate Rules, BCR,或譯為共同拘束規則)、或執委會核准之標準資料保護條款等。其中,較可能為我國企業所適用係依據 GDPR 第 47 條之 BCR 規定。
  2. BCR 係指各集團企業成員在從事共同經濟活動時,將個人資料轉移到一個或多個 EEA 境外之第三方國家的資料控管者或處理者時,必須遵循之個人資料保護方針。換言之,若業者將 EEA 境內民眾個人資料跨境移轉至未經歐盟評估為得提供充分保護(即要件一)之國家時,BCR 得作為充分保護個人資料之手段,而例外地得進行資料跨境傳輸。又,BCR 係由各會員國個資主管機關(監管機關)進行確認。
  • 要件三:符合 SCC 規範。早在 GDPR 施行前,歐盟已分別於 2001 年(2004 年有修正)、2010 年就資料控管者(EEA 境內)對資料控管者(EEA 境外),及資料控管者(EEA 境內)對資料處理者(EEA 境外)發布標準契約條款(Standard Contractual Clauses, SCC)相關指令,規範資料跨境傳輸事宜。惟無論是資料控管者或資料處理者,在本年施行後,仍須依循 GDPR 規範,如第 44 至 49 條之規定。
  • 要件四:當事人同意,如 GDPR 第 49 條之規定,資料當事人已瞭解相關風險仍予同意。

違反 GDPR 會引發什麼樣的法律效果?

看到這裡,還是會有人問,所以如果我違反了 GDPR,侵害了歐洲居民的個資又會怎麼樣呢?

事實上,根據 GDPR 第 83 條之規定,違反 GDPR 規範有二大類可能的裁罰如下:(一)如企業違反第 8 條、第 11 條、第 25 條至第 39 條及第 42 條及第 43 條所定控管者及處理者之義務、第 42 條及第 43 條所定認證機構之義務、與第 41 條第 4 項所定監管機構之義務,得處 以 1000 萬歐元(3 億 5 千萬台幣)之行政罰鍰,如為企業者,罰鍰額度可達前一會計年度全球年營業額之 2%,並以較高者為準

(二)至於更嚴重的違反情形,如違反第 5 條、第 6 條、第 7 條及第 9 條所定處理之基本原則,包括同意之條件、第 12 至 22 條所定資料主體之權利、第 44 條至第 49 條所定個人資料移轉至第三國或國際組織之接收者、依照第 9 章通過之會員國法律所定之任何義務、違反監管機關依第 58 條第 2 項規定之命令或暫時性或終局性之處理限制或停止資料傳輸,或未提供進入而違反第 58 條第 1 項規定者,裁罰額度最高將可達 2000 萬歐元 (7 億台幣) 之行政罰鍰,或達前一會計年度全球年營業額之 4%

因此,GDPR 即將上路一事,引起產業界很大的關注,本文也提醒各位萬勿輕忽。

__

(本文經合作夥伴 資策會科法所 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈GDPR:一件天外飛來的禮物,用四個 QA 快速認識 GDPR〉 首圖來源:YouTube。)

延伸閱讀

美國上千媒體任性不理 GDPR,連洛杉磯時報都不給歐洲人看

GDPR 成駭客勒索「神助攻」幫手:錢交出來,不然我就公開公司個資害你受罰

不小心就會被罰到傾家盪產!AI 新創該如何面對 GDPR 的巨大門檻?


輕鬆 KO 混合雲搬遷難題!

AWS 年度雲端技術精華統整

馬上報名 11/27《AWS Innovate 2019

破解企業常見的 IT 技術坎

點關鍵字看更多相關文章: