【我們為什麼會挑選這篇新聞】被稱為史上最嚴格個資法,歐盟個資保護新法(GDPR)雖然在 5 月 25 日已經上路,但還有許多人對 GDPR 還有一些不明白,只是幫忙企業資料處理的業者完全沒風險嗎?只要沒有在歐洲設廠企業就安全了嗎?
其中若不小心發生讓客戶資料外洩,將面臨歐盟針對企業開罰年營業額 4%,或是最高達 2000 萬歐元(約為台幣 7.09 億元)的罰鍰,不想被罰的企業,看完這篇懶人包一次懂。(責任編輯:鄧天心)
作者:策會科法所法律研究員 何念修
歐盟一般資料保護規則(或稱歐盟個人資料保護規則,General Data Protection Regulation,GDPR)將於2018年5月25日正式生效。這句話對金融業、航空業、電信業等跨國企業的法律遵循人員也許並不陌生,但是各位可能會想問的是:GDPR到底是什麼?GDPR跟我有什麼關係?我為什麼要瞭解它?本文將以幾個QA帶各位快速認識GDPR。
什麼是GDPR?
簡單來說,GDPR是歐盟頒布的一般資料保護規則,屬於歐盟法規的一環,其規範目的在於保護歐洲經濟區(the European Economic Area, EEA)境內民眾隱私與個資,使其免於個資遭受不當利用的影響。
誰會受到GDPR的規範拘束?
歐盟頒布的GDPR目的在於「保護EEA境內居民的個資」,原則上適用於EEA境內,但是現今科技發展下,EEA居民的個資不僅在EEA境內被蒐集、處理及利用,也常常透過網路跨境傳輸到其他國家,在他國境內被蒐集、處理、利用。歐盟為了完美達成GDPR的立法目的,特地於立法時賦予GDPR「域外適用性」(extra-territorial applicability)。
依據GDPR第3條之規定,原則上,在EEA設有據點之組織(包含企業、官方機關、非營利團體),據點包括母公司、子公司、分公司及派駐有業務人員之事務所,均適用之。
例外則是處理資料的組織位於境外之情況,若該組織提供商品或服務給EEA之資料當事人(含實體銷售或網路銷售),而有蒐集EEA公民的個資時,也適用GDPR的規定。
再者,根據GDPR第4條之規定,GDPR的規範對象分為以下兩種類型:
(一)資料控管者(Data Controller),係指掌握個人資料,並決定處理個人資料之目的、條件與方法者,如蒐集、處理或利用個資之企業。
(二)資料處理者(Data Processor),其依據資料控管者的指示而為實質處理資料者,如受委託之資料處理業者。
在此特別說明,依GDPR第4條定義,「處理」係指對個人資料或個人資料檔案執行任何操作或系列操作,不問是否透過自動化方式,例如收集、記錄、組織、結構化、儲存、改編或變更、檢索、查閱、使用、傳輸揭露、傳播或以其他方式使之得以調整或組合、限制、刪除或銷毀,故其意義已包含我國個資法之蒐集、處理或利用。
綜上所述,我國企業無論在EEA境內是否設有子公司、分店、辦事處等據點者,倘有處理EEA境內居民之個人資料,且不論資料處理是否於EEA境內進行,均適用GDPR規範。
又,倘國內母公司欲透過在歐盟分支機構將蒐集之EEA境內民眾個人資料,傳回我國,或要把資料傳輸到其他資料處理公司(無論是否位於台灣境內),此時我國企業作為資料控管者,或甚至委外予資料處理者,仍屬GDPR的適用範圍。
GDPR施行之後,最大的影響為何?
對於我國企業或IT從業人員來說,GDPR將會大幅度地影響資料的跨境傳輸。但依GDPR相關規範,如涉及EEA境內民眾個人資料之跨境傳輸係原則禁止,例外始得為之。跨境傳輸須符合以下四種情形始為合法的傳輸:
- 要件一:經執委會評估後決定資料傳輸之目的地第三國之相關法律制度對個人資料有充分保護者:
- 依據GDPR第44條及第45條相關規定,個人資料之移轉必須遵循GDPR規範,且若個人資料移轉至第三國時,僅於歐盟執委會決定該第三國對個人資料有「充足保護」時,方得為之。
- 至於所謂充足保護之評估,包括但不限於:該國對法治、人權與基本自由之尊重;資料當事人之權利與其行政與司法救濟等規範;是否有獨立監管機關,且該機關是否有效運作等(參見GDPR第45條)。
- 要件二:資料控管者或處理者提供適當保護措施,且資料主體之權利得為執行,並具備有效權利救濟者:
- 所謂適當保護措施,包括:符合有拘束力之企業守則(Binding Corporate Rules, BCR,或譯為共同拘束規則)、或執委會核准之標準資料保護條款等。其中,較可能為我國企業所適用係依據GDPR第47條之BCR規定。
- BCR係指各集團企業成員在從事共同經濟活動時,將個人資料轉移到一個或多個EEA境外之第三方國家的資料控管者或處理者時,必須遵循之個人資料保護方針。換言之,若業者將EEA境內民眾個人資料跨境移轉至未經歐盟評估為得提供充分保護(即要件一)之國家時,BCR得作為充分保護個人資料之手段,而例外地得進行資料跨境傳輸。又,BCR係由各會員國個資主管機關(監管機關)進行確認。
- 要件三:符合SCC規範。早在GDPR施行前,歐盟已分別於2001年(2004年有修正)、2010年就資料控管者(EEA境內)對資料控管者(EEA境外),及資料控管者(EEA境內)對資料處理者(EEA境外)發布標準契約條款(Standard Contractual Clauses, SCC)相關指令,規範資料跨境傳輸事宜。惟無論是資料控管者或資料處理者,在本年施行後,仍須依循GDPR規範,如第44至49條之規定。
- 要件四:當事人同意,如GDPR第49條之規定,資料當事人已瞭解相關風險仍予同意。
違反GDPR會引發什麼樣的法律效果?
看到這裡,還是會有人問,所以如果我違反了GDPR,侵害了歐洲居民的個資又會怎麼樣呢?
事實上,根據GDPR第83條之規定,違反GDPR規範有二大類可能的裁罰如下:(一)如企業違反第8 條、第11 條、第25 條至第39 條及第42 條及第43 條所定控管者及處理者之義務、第42 條及第43 條所定認證機構之義務、與第41 條第4 項所定監管機構之義務,得處以1000萬歐元(3 億5 千萬台幣)之行政罰鍰,如為企業者,罰鍰額度可達前一會計年度全球年營業額之2%,並以較高者為準。
(二)至於更嚴重的違反情形,如違反第5條、第6條、第7條及第9條所定處理之基本原則,包括同意之條件、第12至22條所定資料主體之權利、第44條至第49條所定個人資料移轉至第三國或國際組織之接收者、依照第9 章通過之會員國法律所定之任何義務、違反監管機關依第58 條第2項規定之命令或暫時性或終局性之處理限制或停止資料傳輸,或未提供進入而違反第58條第1項規定者,裁罰額度最高將可達2000萬歐元(7 億台幣)之行政罰鍰,或達前一會計年度全球年營業額之4%。
因此,GDPR即將上路一事,引起產業界很大的關注,本文也提醒各位萬勿輕忽。
__
(本文經合作夥伴 資策會科法所 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈GDPR:一件天外飛來的禮物,用四個QA快速認識GDPR〉 首圖來源:YouTube。)
