跳到主要內容區塊

ACW

:::

GDPR


歐盟GDPR實施後,國際業界最佳實務作法或標準正在形成,為協助我國產業因應歐盟GDPR之施行,並促進產業掌握國際資料保護規定之發展,發展資料保護之商機,將透過國際個人資料保護法制、標準及實務作法之觀測研析,參考國際上相關技術標準及最佳實務實作,將上述資料轉化為相關實務指引或案例分享,提供業者最佳之實務作法,並將相關法規動態,透過法規資訊之提供與宣導,進行資料保護法制及相關措施作法之擴散,另藉由諮詢服務之提供及法規符合性自我檢視評估檢核機制,使企業得以檢視其GDPR法規遵循情形,並藉此以諮詢服務之方式,協助業者提升資料保護之能量。另外更製作GDPR技術方法與要求實踐白皮書方式,從技術方法與技術盤點導引顧問服務商與企業,藉由建構供給方與需求方相關的知識及概念凝聚共識,進而建立顧問服務與企業供需雙邊的交流機制,以建構GDPR技術方法與要求實踐之諮詢輔導網路,利後續供需雙方媒合促進輔導機制成功。

為提供最佳的諮詢服務,由資策會科法所擔任統一窗口,並將於今(108)年下半年舉辦多場GDPR說明會。
若想要進一步了解,歡迎聯繫資策會科技法律研究所施弘文先生 hwshih@iii.org.tw/02-6631-1127、楊雅婷小姐 tingyang@iii.org.tw/02-6631-1042

====== 

GDPR簡介

保護個人資料成為全球課題,歐盟於1995年通過個人資料保護指令,由各會員國轉化內國法施行之,然而,肇因於科技之演變與為確保個人資料保護框架之一致性,歐盟於2012年開始討論調整歐盟之個人資料保護框架,於2016年通過一般個人資料保護規則(General Data Protection Regulation, GDPR),並於2018年5月25日正式施行。

 GDPR施行後,有幾大變革值得注意,首先是其擴大了適用領域,凡是有蒐集、處理與利用歐盟境內之資料主體的個人資料都有GDPR之適用,不論蒐集、處理與利用者是否位於歐盟境內。根據GDPR之規定,位於歐盟境內之資料控制者(對資料之蒐集、處理與利用具有控制權者)與資料處理者(代理資料控制者進行資料之蒐集、處理與利用者),不論其資料蒐集、處理或利用行為是否發生於歐盟境內,有適用GDPR。而未位於歐盟境內者,因對於歐盟境內之資料主體提供商品或服務,又或監控資料主體在歐盟境內之行為,而有蒐集、處理或利用個人資料理,將有GDPR之適用。

其次,有別於個人資料保護指令,GDPR明定了違反GDPR者可能面臨的行政裁罰。根據GDPR之規定,違反GDPR有可能最高會被處以2000萬歐元或全球年營業額之4%(二者取其高)。值得注意的是,GDPR之裁罰規定於資料處理者亦有適用,換言之,雲端服務將不能免除GDPR之適用。

此外,GDPR強化了對於資料主體的保護,例如:新增了被遺忘權、資料可攜權等權利,且強化了同意取得之規定,向資料主體請求取得同意之說明必須與其他事項有所區隔,並使用清楚與白話文為之。當然,GDPR也同時加強了資料控制者與資料處理者之義務與責任,例如:於特定情況下,須設置資料保護官(data protection officer)、進行資料保護衝擊評估等⋯⋯。

GDPR共有11個章節,共計有99條條文,各章節之重點摘要說明如下:

※資料來源:本研究自行製表

章節條文說明
第一章總則§1~§4
立法目的、本法適用範圍與適用區域與重要名詞之定義,定義名詞包括:個人資料(personal data)、剖析(profiling)、匿名化(pseudonymisation)、資料控制者(data controller)、資料處理者(data processor)、資料接收者(recipient)、第三方、個人資料侵害事故(personal data breach)、遺傳基因、生物特徵…等。
第二章原則 §5~§11
個人資料蒐集、處理與利用之一般性原則、個人資料蒐集、處理與利用之合法要件、有關同意之要件,有關兒童同意之取得要件、特種個人資料之蒐集、處理與利用…等。
第三章
資料主體之權利
§12~§23
提供資訊予資料主體(data subject)使其得以行使GDPR所賦予他(她)的權利、資料主體得行使之權利,如:查詢個人資料、刪除個人資料(被遺忘權)、更正個人資料、個人資料可攜、拒絶/反對個人資料之蒐集、處理與利用、不受限於與個人有關之自動決策(含側寫的結果)等。 
第四章
資料控制者與處理者
§24~§43 有關資料控制者的一般性義務,從設計著手保護隱私原則、處理個人資料安全保護要求、個人資料侵害事故之通報與應變機制、資料保護衝擊評估、設置資料保護官與其責任、行為準則、認證或標章驗證機制。
第五章
傳輸個人資料至第三國或是國際組織
§44~§50得將個人資料自歐盟境內傳輸至第三國或國際組織之要件。
第六章
獨立主管機關
§51~§59歐盟各會員國設立之個人資料監管機關之功能與職責,且各會員國間之監管機關與歐盟執委會間,亦須保持相互合作關係。
第七章
合作與一致性
§60~§76為確保本規則具備實施的可行性與執行之一致性,歐盟各會員國所設立之個人資料監管機關須互相提供重要資訊與協同合作,並定義本規則之實施與歐洲資料保護委員會之組成。 
第八章
賠償、責任與罰責 
§77~§84 按本規章向歐盟各會員國所設立之個人資料監管機關申訴權利、司法救濟、損害賠償與相關行政裁罰等。
第九章
有關於特別蒐集、處理與利用個人資料之規定 
§85~§91 有關於基於個人表達自由、醫療、僱傭關係、學術研究與宗教等目的而蒐集、處理與利用個人資料之原則。
第十章
授權法與施行法
§92~§93說明本規章之授權行使,歐盟執委會的定位與程序。
第十一章
最後條款
§94~§99原資料保護指令(Data Protection Directive 95/46/EC)之廢止;有關電子通信隱私保護指令(Privacy and Electronic Communications Directive 2002/58/EC)不施加額外義務之規定;歐盟執委會的考核;GDPR之公告生效與公告後兩年正式施行(2018.5.25)。

※延伸閱讀:
General Data Protection Regulation 2016/679,https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679
Data Protection Directive 95/46/EC,https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A31995L0046
Privacy and Electronic Communications Directive 2002/58/EC,https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A32002L0058
GDPR Key Changes,https://www.eugdpr.org/key-changes.html