2018/06/07 外貿協會數位商務處

GDPR到底是什麼?您不可不知的歐洲新資料法規

最新趨勢、基本概念、工具介紹


各大企業處理個人資訊的方式正在全面變革。

《一般資料保護規範》(General Data Protection Regulation,簡稱GDPR)於 5 月 25 日在歐盟全面生效,導入更嚴苛的資料隱私規定。

 

關於此項新法規,你不可不知的重點如下:

 

GDPR是什麼?

GDPR 是歐盟的新資料隱私法。

它讓民眾更能掌控自己的個人資料,並強制各大企業確保其資料收集、處理和儲存過程是安全的。

歐盟希望能從根本改變企業處理資訊的方式,其中心思想是「預設為保密」(privacy by default)。

 

影響對象是誰?

持有或使用歐盟境內人士資料的任何組織(無論總部設於何處)均適用新法規之規範。

各大企業即使和歐洲地區沒有直接往來,仍受新法規規範。例如:該企業從事的業務、服務對象包含了歐盟境內的客戶。

此外,從企業在歐洲的產品銷售電話客服中心,到追蹤瀏覽記錄的網站等,都會受到影響。

企業因應法規修改將耗費巨大的成本。據國際隱私專家協會 (International Association of Privacy Professionals) 和安永聯合會計師事務所 (EY) 估算,名列《財富》(Fortune)雜誌的全球500大企業共約花了 78 億美元來因應新法規。

 

我應該做些什麼?

先處理您收信匣裡快滿出來的郵件。

許多公司將在本週五前聯繫客戶,請求保留您的個人資料。

最近幾週,為了因應新法規,包括 Google (GOOGL)、Facebook (FB) 和 Twitter (TWTR) 在內的多家公司都變更了他們的隱私設定。 WhatsApp 已將歐洲的用戶年齡下限從 13 歲改為 16 歲。

您必須同意修改後的新政策,並確認您的年齡後,才能繼續使用該公司提供的服務。在歐洲大多數的國家,16 歲以下的孩童需得到父母的同意方能使用服務。

 

企業仍可收集資料嗎?

可以。但前提是它們能夠證明自身有這樣做的「合法前提」。

前提可能是因為它們持有合約,或有必須如此做的法律義務。

若要儲存和處理個人資料,企業也可以直接取得個人同意,但要求必須清晰明瞭、淺顯易懂,且在綜合條款和條件中,不得再有任何隱藏的協議細節。

在促進公共利益的前提下,企業也能處理相關數據資料,例如警方收集嫌疑犯的資訊時。

或者,收集個人資料可能是為了保護他人之性命。例如,醫院將獲准存取身負危及生命的重傷而已無意識患者的個人資訊,而不必徵得其同意。

 

企業需要做些什麼?

企業將得多加關注個人資料的安全性,且若非必要,不得持續持有這些資料。

任何人皆可要求將他們的個人資料從某企業的伺服器刪除,只有在少數情況下例外。例如,為了執法,或客戶想要的服務缺少該資料則無法提供時。而企業也必須在發現任何資料安全漏洞的 72 小時內告知主管機關。此規定應可消除企業和客戶在所知資訊上的巨大落差。

企業或許會需要去證明其資料處理方式是正確的。這可能也意味著監控和文書工作將增加,有些企業勢必得聘用資料保護專員。

 

為什麼要有GDPR

GDPR 的立法目的是希望能擴大並更新1995年設立至今的規定,並將各種不同的法律大雜燴整合為單一立法。

歐盟表示,在網路攻擊和資料外洩日益加劇的年代,新規定是保護消費者的必要措施。

 

若各大企業未能遵守法規,會發生什麼事?

企業將面臨高額罰款。

歐洲監管機構至多可對各大企業求處佔其全球年度營收4%的罰款,對科技巨頭來說,這筆罰金可能高達數十億美元。而小型公司的罰款上限則是2,000萬歐元(2,350 萬美元)。


文 / Ivana Kottasová

連結:

http://money.cnn.com/2018/05/21/technology/gdpr-explained-europe-privacy/index.html

to-top-btn

推薦文章