近來Facebook個資外洩問題鬧得沸沸揚揚,各大網路平台為了不重蹈覆轍,紛紛改善個資處理流程。2018年5月25日正式實施的GDPR,也將會是一個重要的指標。但是GDPR條款多達99條,複雜程度可想而知,以下將列出其中六大重點,幫助您快速掌握。

重點一:GDPR設立的背景

EU歐盟示意圖,GDPR為歐盟一般資料保護法規

GDPR正式名稱為「歐盟一般資料保護法規(EU General Data Protection Regulation,GDPR)」。歐洲長久以來對於個人隱私權的保護比起其他國家相對嚴格許多。隨著時代演變,科技技術的提升,歐盟委員會明白到現有的法規已不敷使用。因此於2016年4月27日通過新版的歐盟一般資料保護法規,宣布在2018年5月25日生效並實施。GDPR除了保護歐洲公民的個資、隱私權,連同資料的傳輸、儲存和管理都涵蓋在其中,可以說是有史以來最嚴格的規範。

重點二:GDPR對於資料的定義

definition,照片為GDPR規範所必須保護的個人隱私

台灣也有針對個人資訊隱私的法規,但是台灣的個資定義和GDPR並不相同。普遍大眾對於個資的認知都只停留在姓名、電話、住址、病歷、Email信箱等代表個人的資料,但在GDPR規範中將IP位置、Cookie、行動裝置ID、社群網站活動紀錄、電子郵件內容、相片、政治主張、宗教信仰、生物特徵(指紋、視網膜掃描、臉部辨識)都列入保護項目。

重點三:GDPR影響的對象

NGO等非營利組織也必須遵守GDPR
不僅是跨國企業,非營利組織也須符合GDPR的規範

凡是歐盟公民都會受到GDPR的保護,換句話說,不管公司的類型或規模,只要跟歐洲27個成員國公民有來往,都受規範。像是在歐洲設有據點的公司;販售產品的對象包含歐盟公民;提供服務的對象含有歐洲公民;直接或間接收集資料的對象為歐盟公民的企業都會受到GDPR的檢視。從公司有歐盟公民的員工,歐盟國家的合作廠商,就連非營利組織、政府機構都會受到影響。只要是握有歐盟公民的個資,一律要遵守GDPR對於資料保護的規範。

重點四:GDPR重點條款

GDPR compliance

在眾多條款中,挑出幾項要特別注意的權利跟大家分享。GDPR新增了被遺忘權、可攜帶權和反對自動化剖析權。每個人將被賦予可以讓自己的資料被刪除以及指定轉移到特定企業的權利;在特定情況下個資當事者有權利反對資料收集者處理該當事人資料的方式。另外,GDPR還強化了資料取得權和個資處理反對權。企業在收集個資前,需要先取得當事人同意方能蒐集處理個資,且在當事者對於處理方式有疑慮,並提出反對時,須立即停止蒐集處理的動作。

重點五:GDPR的罰則

歐元示意圖

GDPR所懲處的金額不像台灣法規開罰三萬或五萬那種不痛不癢的程度。而是依照違規類型的不同,最高會被懲處二千萬歐元,或是企業全球營業總額的4%作為罰款,並且是以金額較高的項目為準。如此重罰,便是為了杜絕懷有僥倖心態者。

重點六:應對措施

countermeasure,會議示意圖

面對GDPR正式實施,企業應該從各個面向評估個資收集、儲存、管理、保護措施。從頭檢視每一階段的處理步驟是否完善,加強資料的管理嚴謹程度,並配合法規訂定更完善的制度規範。讓企業在發展的路上不會受到GDRP的影響而綁手綁腳。

以上這些說明,有沒有讓你對GDPR有了初步的了解呢?先明白GDPR的背景及影響範圍,再進一步探討該如何對應。下一篇跟大家分享面對GDPR,要怎麼確認自己的網站該如何調整。希望能幫助各位先行自我檢測與開始應對GDPR的法規。

延伸閱讀

Google Maps API大改版前必知,網站需因應調整的3大步驟
定期更換密碼會增加被破解的風險?3個設定密碼技巧