歐盟個人資料保護規則 GDPR
■ 簡介
GDPR究竟是什麼?簡單來說,它是歐盟對個人隱私權保障的規範標準。它的前身為自一九九五年開始推行的歐盟資料保護綱領(Directive95/46/EC)。GDPR將於2018年5月25日生效。取代歐盟資料保護綱領。兩者有幾個重要的不同:
- ■ 提升法律位階
-
歐盟資料保護綱領僅為一指導性原則,對會員國沒有實質的拘束力,實際上還是要透過歐盟各國國內立法完成後才能落實,導致會員國間的個資保護規定未能一致。而GDPR之法律位階屬於Regulation層級,Regulation的地位則等同於歐盟歐盟各國國內法,只不過其範圍涵蓋整個歐盟。因此GDPR從2018年5月25日起不需要再經由各國國內立法程序即可直接適用。
- ■ 擴大適用範圍
-
1995年資料保護綱領係屬地原則,如企業提供跨境服務,並未於歐盟地區設立,則不受其拘束;在GDPR之規定,即使資料控制者於歐盟境內沒有設立機構,但其在跨境提供商品或服務的過程中,蒐集、處理、利用歐盟居民個人資料,則應適用GDPR之規範。
- ■ 企業必須設置資料保護長
-
未來全球所有企業的核心業務,只要涉及歐洲民眾個資的蒐集、處理和利用時,不論公司規模大小,都必須設置資料保護長,PO須為獨立職位,且須向主管機關負責,而非董事會,其責任義務為確認企業做法應符合GDPR的法遵政策及其法遵責任、進行人員教育訓練、資料保護影響評估建議等。資料保護長必須要有效依法履行職責,一旦企業有違反GDPR的規範,資料保護長需要被追究相關的法律責任。
- ■ 資料蒐集與處理須取得明確有效同意
-
收集資料時須充分且明確告知個資當事人資料的所有用途,任何同意處理個人資料的行為都必須是「出於自由意願、具體明確、充分知情且清楚明白」,且個資當事人現在得基於任何理由隨時撤銷同意。
歐盟要求企業必須強化同意書的條件,不可以使用充滿法律術語和難以理解的文字,且必須和其他事項內容有區隔,可以更容易獲得民眾的了解和同意,像是在契約上清楚標示個資使用的特定目的,甚至用紅框特別圈起來標註給當事人知情。此外GDPR也要求要提供簡明易懂的個資使用同意書,連撤銷個資使用的同意書,也必須一樣簡明易懂且容易撤銷。
再者,GDPR也賦予歐洲民眾可以選擇「不共用資料」的權利,也就是說,歐洲民眾可以拒絕企業共同行銷。
- ■ 強化個人資料可攜權
-
新法規規定,個資當事人應有權將個資從原本的資料持有單位(以常用電子格式)轉移至另一單位,原持有單位不得阻礙干涉。
- ■ 強化個人資料可攜權
-
讓資料的當事人可以要求包括資料控制者以及資料處理者,必須協助抹除當事人個人資料、停止使用當事人個資,這包括供應商和其他的第三方業者在內。他指出,抹除資料的前提條件包括:資料利用與處理目的不同、非法處理個資,或者是資料當事人撤銷同意書等,都可以要求刪除。
- ■ 個資外洩必須在72小時內通報資料保護主管機關
-
GDPR規定,企業(含資料控制者或資料處理者)若發生個人資料外洩事件,必須於知悉後72小時內通報其資料保護主管機關(Data Protection Authority),且若對資料當事人之權益有重大危害之虞,雖未明確規範期限,亦應及時通知資料當事人。
- ■ 賦予當事人有權反對被自動化剖析(Profiling)權利
-
自動化剖析的概念係指:以自動化方式處理個人資料的分析與預測活動、經濟狀況、位置、健康狀況、個人偏好,可信賴度或者行為表現等判定。GDPR賦予資料當事人有權了解某一項特定服務,是如何利用大數據分析、機器學習、人工智慧等技術,進行資料分析和研判的服務,當然也有權反對被如此剖析。
- ■ 要求企業必須落實資料保護影響評估
-
GDPR要求資料控制者必須進行「資料保護影響評估(Data Protection Impact Assessment,簡稱DPIA)」,以辨識業務活動中涉及個人隱私權利的風險,並加以衡量、管理與因應,且於蒐集與處理個人資料前,應評估風險與必要性。
- ■ 大幅提高罰則金額
-
根據 GDPR,違反 GDPR 的組織可能被處以年度全球營業額的 4% 或 2,000 萬歐元的罰款(擇金額較高者罰之)。
- ■ 與ICANN之關係
-
- 2018年4月23日,ICANN總裁兼執行長Göran Marby公告Improving our Planning and Preparation一文表示,ICANN決定建立回報機制,追蹤可能影響現行與未來政策發展的地方法規或草案。該機制旨在協助ICANN了解相關地方法規如何影響ICANN,以及如何避免相關風險。
- 2018年5月17日,為因應GDPR施行修訂Temporary Specification for gTLD Registration Data,重新調整WHOIS管理政策。
- 2018年5月25日GDPR施行生效後,主張註冊商EPAG有義務收集註冊人以外的管理與技術聯繫人資料,向德國伯恩法院請求核發強制令,並請求違約損害賠償EUR 250,000.00,即ICANN訴EPAG案。惟遭法院駁回請求。