議題觀點
淺談台灣企業對GDPR的因應之道與法令遵循計畫宜注意事項
德勤商務法律事務所 / 張憲瑋資深律師
1995年制定的歐盟個人資料保護指令 (Directive 95/46/EC),原僅為歐盟地區廣泛共通的法律框架與指導原則,各會員國仍可依國情需求制訂各國的資料保護法規。然而,這次2018年5月25日即將施行的歐盟個人資料保護規範 (General Data Protection Regulation, GDPR) 在法律位階上則是提高至「規則」(Regulation) 之層級,未來將可直接被各會員國所援用,影響應較為直接。
台灣企業對GDPR的因應之道
對於台灣企業而言需加以留意者為,不論是現行台版個資法或是歐盟1995年個人資料保護指令,均無對個人資料之取得、處理之「同意」設有進一步之要件;然而,在GDPR規範下之同意則有更為明確之要求,例如必須出於當事人自主授予 (freely given)、知情 (informed)、具體 (specific)、並且明確 (unambiguous);如當事人保持沉默、未表示意見、無作為等情況均不構成同意。
另外,新修正之GDPR強化了當事人五大權利為我國個資法所無。當事人五大權利的行使,包括接近使用權 (right of access)、資料處理限制權 (right to restriction of processing)、個人資料可攜權 (data portability)、反對權 (right to object) 與被遺忘權 (right to be forgotten),使當事人的隱私權保護更加具體、健全。其中值得我國企業留意者為,由於現行社會下有越來越多「描繪」(profiling) 活動出現,即個人資料經任何形式之自動化處理,使用該筆資料來評估與當事人有關之個人特徵,並分析、預測其工作表現、經濟狀況、健康、個人偏好等等,對於此現象企業須因應當事人反對權之行使,特別是當事人得基於與具體情況有關之理由,隨時拒絕企業對個人資料之處理。另外,被遺忘權原來於2014年Google v. APED一案中被確立,其主要精神為企業在接受個資當事人要求刪除已被公開的個資後,須一併通知所有第三方個資擁有者,刪除所持有相關個資的複本及個資連結。
法遵計畫宜注意事項
建議企業宜考慮自身條件衡量是否須適用GDPR,並採取相對應之法遵計畫,除遵守我國個人資料保護法外,更應建置個人資料保護管理系統。如不幸進入訴訟程序,訴訟上攻防的一大重點可能在於責任成立的因果關係與責任範圍的因果關係之部分,由於我國個人資料保護法第29條採取推定過失責任,歐盟GDPR並無此條文,故相較之下,我國責任範圍的因果關係之成立會是重點所在。
GDPR第35條亦強調「資料保護影響評估」(Data Protection Impact Assessments, DPIA) 之機制設計,規定當資料處理過程「可能對個人權利或自由造成高度風險時」(is likely to result in a high risk to the rights and freedoms of individuals),組織或資料控制者應辨識業務流程中涉及個人隱私權利的風險,並加以衡量、管理和因應,此與現行我國許多企業業已實施的隱私影響評估 (Privacy Impact Assessments, PIAs) 為相同的概念。雖條文並未清楚指明何種程序必須被強制採行,而僅要求組織適用某種框架,以補足既存實務或現狀之不足。另外,於進行DPIA的同時,亦有必要先行確認業務伴隨而來的隱私風險是否具有對稱性和必要性,特別是企業應評估其所面臨之固有風險、控制措施有效性,以確認風險評估結果 (即剩餘風險);在剩餘風險過高的情況下,亦必須要事先諮詢監管機關,確保後續流程之進行以避免違法。值得我國企業留意的是,若未進行DPIA,依照GDPR第85條可能處以一千萬歐元或全球營業額百分之二之罰鍰,企業不可不慎。
最後,公司應建置良好之緊急應變程序,以防患未然,特別是對於資安漏洞,最好的方式係於事前彌補,以預防意外事件發生。若法遵方面能建置一套程序,對於公司各階層採取的危機應變處理將有相當大的助益。
政府當務之急
由於GDPR擴大了地域範圍,已具有域外效力,伴隨而來的高額罰款可能使我國部份企業面臨極大的法遵壓力。政府當務之急應是瞭解各產業目前的狀態,並積極輔導各產業建置完善之個人資料保護制度,如此對於我國國際形象之提升亦有助益。