議題觀點

GDPR即將來襲,你準備好了嗎?

德勤商務法律事務所 / 張憲瑋資深律師

歐盟一般資料保護規則 (General Data Protection Regulation, GDPR) 將於2018年5月25日起生效,未來在不到幾個月的時間之內該規則將直接適用於歐盟各會員國;歐盟亦將成立單一的監管機構,改善原本各國對資料保護程度不一之情況。

然關於GDPR施行後將如何影響我國,值得我國企業加以關心,特別是GDPR之適用實際上已擴大至歐盟會員國之外,具有域外效力 (extraterritorial reach)。例如GDPR第三條即針對非設立於歐盟境內之資料控制者與處理者,如有蒐集、處理或利用歐盟境內個人資料之情形,亦需適用。

實際上GDPR主要針對兩種行為進行規範:一類為「提供商品或服務予歐盟居民」(不論為付費或是免費服務),然如何判斷企業是否具有意圖對歐盟之消費者提供商品或服務,於定義上存在相當大的灰色地帶,特別是GDPR規範中並未有進一步說明;但企業於提供商品或服務的過程中若有使用歐盟會員國的語言、貨幣、頂級域名稱 (top-level domain)、提及會員國之消費者或是以會員國消費者為廣告之目標者,則該非歐盟企業極有可能必須適用GDPR。另一類為「對歐盟境內個體之行為進行監控 (monitoring)」,關於此類型GDPR亦未清楚定義究竟何種對個人資料的蒐集、處理或利用行為將構成「監控」;但有認為指的是透過分析或預測消費者的偏好、行為、態度,建檔並做成商業決定的情形。

換句話說,GDPR規範是以資料為中心。無論何種類型之企業、是否於歐盟設有據點,只要是屬於歐盟居民的個資,並符合上述GDPR之行為定義,一律必須遵循GDPR對資料保護之相關規範。雖然GDPR亦強調,企業擁有的歐盟居民個資數量應符合一定的比例原則,故不會因為只有一筆歐盟居民之個資,企業即需以GDPR為資料保護標準,然由於規範界線仍相當模糊,我國企業如屬品牌廠商、電子商務業者或運輸業者宜考慮就上述標準衡量判斷是否須適用GDPR,甚者如有發現前述情形應即採取相對應之法遵計畫。

特別是航空公司通常無法避免存取歐盟居民的護照號碼、旅館業與交通運輸等業者常有機會提供服務予歐盟居民、金融或健康相關產業由於常涉及敏感性資料、具申請功能的電商網站與網路服務 (如有達一定比例之歐盟居民個資),這些業別的企業應需高度警覺。另外,跨國企業若已於歐盟設立分公司或子公司,根據Google v. AEPD案 (即被遺忘的權利案) 之見解,若是母公司有以「穩定的方式有效實質控制該商業活動」(the effective and real exercise of activity through stable arrangement),就算公司不在歐盟境內亦需適用GDPR。

另外,GDPR亦有規範若發生個人資料外洩事件時,企業須於知悉後72小時內通報主管機關,且若企業員工超過250人、核心業務有涉及對歐盟居民的資料處理,必須設置資料保護長 (Data protection Officer, DPO)。而罰則方面,GDPR亦已大幅提高罰鍰金額,並依照情節輕重有不同之裁罰標準,最高可能處以兩千萬歐元或全球營業額百分之四 (以高者為準) 之罰款,企業對此法令之遵循亦不可不慎。

最後,這次GDPR強化的當事人五大權力中,企業尤應注意個人資料可攜權 (data portability) 之行使;由於此權利賦予歐盟公民對資料擁有更大的操控權,可在不同服務間移動個資。故企業應建置更為健全之隱私權保護、提供更為友善之介面,讓客戶選擇與之建立商業關係,而非與其競爭者進行交易。在如此緊迫的時程下,法遵計畫之施行實刻不容緩。

是否找到您要的資訊?