認識GDPR
Posted on allen

認識GDPR

前言:為什麼要討論GDPR?

GDPR距今不到1個月就要生效,全球機構組織都在如火如荼的更改標準與修正管理方法,Google、Dropbox、Facebook等跨國企業都已經聲明遵從。有些企業則是因為無法遵循GDPR而放棄服務,撤出歐洲的市場。GDPR這項號稱史上最嚴格,罰則最重的隱私保護法規,究竟是何等的洪水猛獸,又會造成什麼樣的影響,我們以下將逐步介紹。

 

圖一、聲明遵循GDPR

 

 

背景資料:GDPR的歷史與環境

「GDPR主要是為了要取代歐盟在1995年推出的歐盟個人資料保護指令」(EU Directive 95/46/EC : the Data Protection Directive)

歐盟執委會在2012年1月,提出新版的歐盟通用資料保護規則(GDPR),作為可以整合歐盟個人資料保護指令、歐盟電子通信隱私保護指令(EU Directive 2002/58/EC : Privacy and Electronic Communications)和歐盟指令EU Directive 2009/136/EC的新版規則,取代原來的個人資料保護指令(Directive 95/46/EC,共65條)

GDPR從2016年5月25日正式生效後,因為歐盟有28個會員國,加上定義的可識別資訊比過往更多,也增加企業和組織因應GDPR的難度,因此,也特別規定2年的緩衝期,要到2018年5月25日才會正式施行。

以往歐盟通過與個資隱私保護的指令(Directive)*1,在歐洲議會通過後,仍須由各國制定相關的國內法作為因應,也容易出現時程上和內容上無法配合或有出入的狀況。因此,歐洲議會這次通過的歐盟通用資料保護規則,則希望透過提高管理強度,將以往必須各國制定國內法配合的指令,提高為全歐盟會員國都可以直接適用的規則(Regulation)*2。
*1指令(Directive)通常為原則的表彰,仍有待各會員國將該等原則具體化成為條文。因此,各會員國使用之方式、同一名詞解釋、申請程序、罰則等可能不同。
*2規則(Regulation)一體適用於各會員國的規定,成為歐盟市場單一法規,同一解釋,免除配合每國規定之繁複程序,節省成本,並且透過各國主管機關組成歐盟資料保護委員會(European Data Protection Board)確保規則適用的一致性。

歐盟這個直接適用全部會員國的規則,各國國會不需要對此內容另外進行立法,反而要針對各國原先的個資或隱私保護的法律規章進行修正調整,使各國的法律條文都能夠符合GDPR的內容規範。

 

GDPR簡介

GDPR共分成11章99條條文:

第一章、總則(第1條~第4條)

說明修法目的,個人資料適用範圍、適用區域,及GDPR引用名詞各項定義。

第二章、原則(第5條~第11條)

說明當事人個資處理的六大原則,處理合法性的成立條件;當事人的同意要件;處理兒童及犯罪紀錄等個資處理原則;以及經資料客製者處理,不允許識別自然人,去識別化要求等。

第三章、當事人權利(第12條~第23條)

確保資料主體的法定權利,分成5節,分別包含:透明性和形式;資料與資料主體禁用權;限制處理和刪除要求;反對權與剖析;以及限制權等定義。

第四章、控制者與處理者(第24條~第43條)

分別定義:一般性義務;個人資料安全:資料保護影響評估與事前向主管機關諮詢與授權要求:資料保護長設計與責任;行為準則與認證或標章驗證機制。

第五章、個資跨境傳輸(第44條~第50條)

說明個資傳輸到歐盟以外第三國或國際組織時的要件,包含傳輸時的一般性限制、事前評估和傳輸過程保護等。

第六章、獨立監管機構(第51條~第59條)

說明會員國設立個資監管專責機構的功能、權責與要求,保護歐盟境內有關個資處理和促進個資的自由流通的自然人之基本權利和自由,歐盟各國須成立至少一個專責機構監督一般個資保護規章的落實情形,且各會員國的專責機構和歐盟執委會間須保持合作。

第七章、監管機構協同合作與一致性(第60條~第76條)

確保個資保護規章具備實施的可行性及實施上的一致性,各會員國設立的個資監督管理專責機構須互相提供重要資訊和協同合作,定義歐盟通用資料保護規則的實施,及說明歐洲資料保護委員會的組成。

第八章、法律救濟、損害賠償與罰則(第77條~第84條)

說明歐盟通用資料保護規則向各會員國設立的個資監管專責機構的申訴權利,與個人資料監督管理專責機構、個資控制者、個資處理者對抗時的司法救濟、損害賠償及刑責與行政裁罰等。

第九章、對特定情況處理規章(第85條~第93條)

針對個人表意自由、醫療、勞工雇主雇傭關係、學術研究及宗教等議題下的個資處理規範。

第十章、施行細則(第92條~第99條)

說明歐盟通用資料保護規則的授權行使及執委會的定位與程序。

第十一章、附則

說明對原本歐盟個資隱私保護指令及電子通信隱私保護指令的廢止,歐盟執委會考核,及通用資料保護規則公告生效與正式施行日期。

 

GDPR的範圍

個資的種類

一般個資

可得識別自然人係指得以直接或間接地識別該自然人,特別是參考諸如姓名、身分證統一編號、位置資料、網路識別碼或一個或多個該自然人之身體、生理、基因、心理、經濟、文化或社會認同 (第四條)

敏感性特種個資

 揭露種族或人種、政治意見、宗教或哲學信仰或貿易聯盟會員之個人資料、基因資料、用以識別自然人之生物特徵識別資料、與健康相關或與自然人之性生活或性傾向有關個人資料之處理,應予禁止。 (第九條)

適用的企業

GDPR對於規範對象,除了屬地原則外,兼採屬人原則,基本要素為歐盟,也就是說,在歐盟設有據點者,當然受到規範,在歐盟沒有據點者,若處理之個人資料涉及歐盟居民也可能受到GDPR規範。約略歸納如下:

  • 在歐盟設有據點之資料持有者(controller)或處理者(processor)
  • 在歐盟無據點之資料持有者或處理者,但有下列情形之一者:
  1. 處理歐盟居民(residents)之個資,即提供歐盟居民服務或商品。
  2. 員工超過250名員工。
  3. 員工在250名以下但經常性處理個人資料、處理之個資有危害當事人權利及自由之風險或者處理種族、政黨傾向、宗教、基因、生物識別、犯罪紀錄資料等敏感性特種資料。(第30條之5)

 

GDPR中資料主體(Data Subject)的權利

GDPR的施行,明確規範了我們的權利也等同於增加了企業的義務,我們應該認識自己擁有那些權利,並且在適當的時機使用及維護,以保護我們珍貴的個人資料。

透明原則 (GDPR第12條)

個人資料之蒐集、利用、處理應向當事人公開,要求關於個人資料處理之任何資訊或聯繫,應方便取得、易於理解、且應以清晰易懂之語言為之。

存取權 (GDPR第15條)

資料主體應有權存取(right of access)其被蒐集之個人資料,並得容易的、於合理之時間間隔行使存取權,以知悉並確認該處理之合法性。

更正權 (GDPR第16條)

資料主體亦應有權請求完整化其有欠缺之個人資料,包括以提供補充說明之方式。

刪除權(被遺忘權) (GDPR第17條)

這個權利又稱為被遺忘權(Right to be forgotten),為強化網路環境之被遺忘權,刪除權應擴張至「公開個人資訊」之控管者有義務通知「刻正進行個人資料處理」之控管者刪除任何該個人資料之連結、複製或仿製(links, copies or replications)。

拒絕權 (GDPR第21條)

資料主體得基於與其具體情況有關之理由,隨時拒絕本規則所定關於其個人資料之處理,即所謂拒絕權(right to object)。

資料可攜權 (GDPR第20條)

當個人資料以自動化手段執行處理時,資料主體應有權以結構的(structured)、廣泛使用的(commonly used)、機器可讀的(machine-readable),及可共同操作的格式(interoperable format)接收其提供予控管者之資料,並有權將之傳送給其他控管者。

 

圖二、資料主體的權利

 

GDPR中收集資料者的責任

整個GDPR都在確保個資的安全處理,在第24條明確規定要求資料持有者在技術上及組織層面上,採取適當措施確保並證明個資處理依據GDPR相關規定。

個資被竊取

個人資料侵害發生時,控管者應於發現後72小時內通報監管機關(第55條),未於72小時內向監管機關通報之情形,通報應附遲延之理由(第33條)。

於個人資料侵害可能導致當事人權利及自由之高風險時,控管者應於72小時內與資料主體溝通個人資料侵害風險(第34條)。

資料保護影響評估 (第35條)

現今個資法有隱私權衝擊分析(PIA)和風險評估(RA),而GDPR將PIA轉變成資料保護影響評估(Data Protection Impact Assessments,DPIA)。

個資安全處裡 (第32條)

採取適當之科技化且有組織的措施,以確保對於風險之適當安全程度

設立資料保護長(Data Protection Officer,DPO) (第37條)

除了資料主體(Data Subject)之外,一般蒐集、處理和利用PII的組織,可以分成資料控制者(Data Controller)和資料處理者(Data Processor)。
但不管是哪一種角色,只要企業的核心業務涉及對歐盟民眾個人資料的處理,為了確保企業組織可以有效因應GDPR的資料保護規範,歐盟要求這些企業,都必須設置資料保護長(Data Protection Officer,DPO)的重要職位。

 

GDPR的處罰

視違反情況裁定

最高處以2000萬歐元之行政罰鍰,如為企業者,最高達前一會計年度全球年營業額之4%。

第12至22條 資料主體之權利
第44至49條 國際傳輸
第58條第2項 違反監管機關之命令者

最高處以1000萬歐元之行政罰鍰,如為企業者,最高達前一會計年度全球年營業額之百分之二,並以較高者為準。

第8條
第11條
第25條至第39條
第42條
第43條 資料控管者及處理者之義務

 

2018/05/16  作者:孫權劭