GDPR即將來襲，你準備好了嗎？

歐盟一般資料保護規則 (General Data Protection Regulation, GDPR) 將於2018年5月25日起生效，未來在不到幾個月的時間之內該規則將直接適用於歐盟各會員國；歐盟亦將成立單一的監管機構，改善原本各國對資料保護程度不一之情況。

然關於GDPR施行後將如何影響我國，值得我國企業加以關心，特別是GDPR之適用實際上已擴大至歐盟會員國之外，具有域外效力 (extraterritorial reach)。例如GDPR第三條即針對非設立於歐盟境內之資料控制者與處理者，如有蒐集、處理或利用歐盟境內個人資料之情形，亦需適用。

實際上GDPR主要針對兩種行為進行規範：一類為「提供商品或服務予歐盟居民」(不論為付費或是免費服務)，然如何判斷企業是否具有意圖對歐盟之消費者提供商品或服務，於定義上存在相當大的灰色地帶，特別是GDPR規範中並未有進一步說明；但企業於提供商品或服務的過程中若有使用歐盟會員國的語言、貨幣、頂級域名稱 (top-level domain)、提及會員國之消費者或是以會員國消費者為廣告之目標者，則該非歐盟企業極有可能必須適用GDPR。另一類為「對歐盟境內個體之行為進行監控 (monitoring)」，關於此類型GDPR亦未清楚定義究竟何種對個人資料的蒐集、處理或利用行為將構成「監控」；但有認為指的是透過分析或預測消費者的偏好、行為、態度，建檔並做成商業決定的情形。

換句話說，GDPR規範是以資料為中心。無論何種類型之企業、是否於歐盟設有據點，只要是屬於歐盟居民的個資，並符合上述GDPR之行為定義，一律必須遵循GDPR對資料保護之相關規範。雖然GDPR亦強調，企業擁有的歐盟居民個資數量應符合一定的比例原則，故不會因為只有一筆歐盟居民之個資，企業即需以GDPR為資料保護標準，然由於規範界線仍相當模糊，我國企業如屬品牌廠商、電子商務業者或運輸業者宜考慮就上述標準衡量判斷是否須適用GDPR，甚者如有發現前述情形應即採取相對應之法遵計畫。

特別是航空公司通常無法避免存取歐盟居民的護照號碼、旅館業與交通運輸等業者常有機會提供服務予歐盟居民、金融或健康相關產業由於常涉及敏感性資料、具申請功能的電商網站與網路服務 (如有達一定比例之歐盟居民個資)，這些業別的企業應需高度警覺。另外，跨國企業若已於歐盟設立分公司或子公司，根據Google v. AEPD案 (即被遺忘的權利案) 之見解，若是母公司有以「穩定的方式有效實質控制該商業活動」(the effective and real exercise of activity through stable arrangement)，就算公司不在歐盟境內亦需適用GDPR。

另外，GDPR亦有規範若發生個人資料外洩事件時，企業須於知悉後72小時內通報主管機關，且若企業員工超過250人、核心業務有涉及對歐盟居民的資料處理，必須設置資料保護長 (Data protection Officer, DPO)。而罰則方面，GDPR亦已大幅提高罰鍰金額，並依照情節輕重有不同之裁罰標準，最高可能處以兩千萬歐元或全球營業額百分之四 (以高者為準) 之罰款，企業對此法令之遵循亦不可不慎。

最後，這次GDPR強化的當事人五大權力中，企業尤應注意個人資料可攜權 (data portability) 之行使；由於此權利賦予歐盟公民對資料擁有更大的操控權，可在不同服務間移動個資。故企業應建置更為健全之隱私權保護、提供更為友善之介面，讓客戶選擇與之建立商業關係，而非與其競爭者進行交易。在如此緊迫的時程下，法遵計畫之施行實刻不容緩。