歐盟GDPR明年上路 鉅額裁罰維護人權
中時電子報 蔡淑芬
2017年8月8日 上午5:50
安侯法律事務所表示,歐盟自2018年5月起將實施更嚴格的個人資料保護規則(European Union General Data Protection Regulation,GDPR),由於GDPR帶有強烈人權保護色彩,建議在歐盟設有據點的企業,應儘速檢視公司內部個資處理流程,完善內部個資保護及技術措施,降低因個資處理不當所引發的鉅額裁罰風險。
歐盟將自2018年5月25日起實施GDPR,該法規不僅適用在歐盟設立子公司或分公司的企業,也適用所有有處理歐盟居民個資的歐盟境外企業。依GDPR規定,企業若未遵循法規要求,主管機關得進行調查,最重更可裁處企業2,000萬歐元、或該年度全球營業額4%的罰鍰(取其高者)。
歐盟重罰谷歌 顯示執法決心
國際隱私專業協會資訊隱私專家、安侯法律事務所執行顧問翁士傑表示,近日歐盟以Google違反反壟斷法為由,對其處以24億歐元鉅額罰款,可得知歐盟對公益性或政策性法令的執行日益強化,亦可窺知歐盟未來亦將會嚴格執行GDPR法規,並確認企業個資保護措施建置落實的程度,企業宜審慎以對。
翁士傑指出,對歐盟居民而言,個資應受妥適保護的權利,本質上是個人隱私權保護的延伸。
從1948年的聯合國世界人權宣言、1950年的歐洲人權公約、1981年的歐盟個人資料自動化處理個人保護條約、1995年的歐盟個人資料保護指令 (EU Data Protection Directive),以及歐盟各會員國的憲法規定,均以個人隱私權保護為重要基本人權角度,而有明確規定。
賦予個資當事人五大權利
因此,翁士傑說,在此概念下,企業若要對員工、客戶、第三方人士個資,或任何可識別特定當事人的資料進行蒐集、使用、儲存、監控或傳輸等處理,皆被視為企業試圖侵入個人隱私,所以有義務對受影響的個人進行個資告知。
翁士傑進一步提出GDPR賦予個資當事人的5大權利,其中包含新增的被遺忘權(Right to be Forgotten)與個資可攜權(Data Portability)。翁士傑說,被遺忘權是2014年經由歐洲法院判決所衍生的權利,企業在接受個資當事人要求刪除已被公開的個資後,須一併通知所有第三方個資擁有者,刪除所持有相關個資的複本及個資連結。
至於個資可攜權的意義,指的是個資當事人可向企業要求將其個資,以及其他相關資料轉移至另外一個企業,增加資訊的交互利用,避免個資遭特定服務提供者綑綁或束縛。
第三是強化資訊取得權(Right of Access)。翁士傑表示,企業必須事先告知個資的處理方式,並取得個資當事人同意後,方得向個資當事人蒐集及處理其個資;第四是強化個資處理反對權(Right to Object),當個資當事人提出反對時,企業應立即停止蒐集處理個資。最後,則是強化個資處理限制權(Right to Restriction of Processing),個資當事人得限制企業對其個資的處理方式。
翁士傑說,相較於台灣個人資料保護法的定義,GDPR對個資的定義更為廣泛且明確。簡而言之,所有可識別出特定當事人的資料都屬於個資,因此除個人電話號碼、地址、健康資料、電子信箱等之外,政治主張、宗教信仰、工會會員、生物特徵 (如指紋、臉部辨識、視網膜掃描)、線上辨識碼以及線上定位資料 (如Cookie、IP位置、行動裝置ID)等,均明文增列屬於個資的範疇,且大幅擴張敏感性個資類型。
三大面向 保留法令遵循紀錄
翁士傑表示,GDPR為保護歐盟居民個資,要求所有企業必須實施周密、廣泛且合理的個資保護措施,保護個資當事人權利,以降低違反法規的風險。縱使企業如有不慎違反個資保護的情形,企業亦得提供合規遵循的事證予主管機關,以做為主管機關降低裁罰金額的有利事證。
因此,翁士傑指出,為因應GDPR的新增個資保護規範,企業可從三大面向著手因應及處理,並保留善盡法令遵循的軌跡紀錄:首先,企業須自我評估企業內部個資處理的風險程度,並依據評估所得的的個資風險程度,著手設計高標準的個資保護制度,訂定內部個資管理制度,以保護企業在營運中所使用的員工及客戶個資。
其次,翁士傑表示,企業需強化內控系統的分權原則與最小使用權限;最後,企業應善盡個資當事人權益保護,例如使用當事人易於理解的告知方式,以及尊重當事人行使個資可攜權等法定權利。
Form 來源 : https://tw.news.yahoo.com/%E6%AD ... 05991--finance.html