相信各位这阵子都收到不少来自Google、Facebook 等网路服务的「GDPR 规定」通知吧?
到底这是什么东西,为何各大网路巨头都要发出相关声明呢?跟你、我、我们所在的公司是否有关?
本篇文章用最简单的方式,告诉大家这个「史上最严格个资法」GDPR 到底是什么。
简单来说,GDPR 是什么?
GDPR 全名为「General Data Protection Regulation」(一般资料保护规定),类似于台湾的个资法
虽然这项规定目前仅适用于欧盟,但其实你所在的公司也非常有可能需要受到GDPR 的规范,原因可见下一段「谁需要遵守GDPR」。
至于GDPR 到底是什么?
简单一句话说明,就是「欧盟公民享有资料删除、更改、转移的权利,且企业需保护用户个资」,这项规定于2016 年通过,并给予两年的缓冲期,目前已经于2018/5/25 正式上路。
这项法规是根据被遗忘权为基础发展的,使用者可以要求拥有资料的一方,删除所有个人资料的连结、副本、复制品、可携带权等等;
也就是说,你可以要求Google、Apple 等科技巨头完全删除你的资料,或是把资料转移到其他服务上。
但除了网路服务以外,需要受到GDPR 规范的企业还有很多。
谁需要遵守GDPR?
但只要符合下列条件,就必须适用GDPR:
客户有欧盟公民
雇用欧盟公民员工
与欧盟供应商合作
不只企业、非营利组织与政府也适用
也就是说,如果你的公司或网站有来自欧盟的用户、有欧盟的分公司,或是与欧盟所在的公司有商业往来,基本上就要适用于GDPR。
以网路无远佛届的特性,基本上任何国际网站都必须要适用这项规定,这也是为什么Google、Facebook、Dropbox、Airbnb 等网站最近狂发信的原因了。
但这项规定也不局限于网路,就算是餐厅、航空公司、银行、计程车,只要握有欧盟客户的任何资料,像是姓名、住址、电话、信用卡等等,就必须受到GDPR 的规范,几乎是包含了全部产业。
另外,由于欧盟向来是世界人权隐私保障的指标,因此也可预期GDPR 的相关规定在不久后,也会适用于欧盟以外的其他国家。
GDPR 保护哪些个资?怎样算违法?
GDPR 保护的个资种类非常多,像是电话、地址、车牌、指纹、相片、邮件内容、问卷,甚至地理位置、社会认同等等。
在数位领域,Cookie、IP、ID、社群网站活动纪录也都包含其中。
至于怎样是违反GDPR,
可以分为以下几种:
01
保护不周
企业对民众个资保护不周,被窃取、外泄。就算个资未外泄,只要防护不周就算违反。
02
脱离约定目的、缺乏正当性
像是把某活动搜集的个资,用于另一个无关的活动或机构使用。
03
未给予当事人应有权利
包括前面所述的「删除」、「更正」、「转移」等权利。
如果没有妥善处理个资或是造成外泄,需要在72 小时内通报给主管机关;
而企业如果没有执行个资保护风险评估、没有保护机制、违法向第三国提供用户个资等等,可罚以2000 万欧元(约台币七亿元)或全球营业额的4% 罚锾。
由于这项规定在5/25 开始实行,因此若现在还不清楚自己的企业是否适用GDPR 规范,或是现有机制是否会违反GDPR,建议寻找相关机构或专业的顾问单位协助。
在线客服
微信
