首頁 >> 新知 >> 理律新知 >> Newsletter >> 企業應儘速評估歐盟個資法遵循事宜


企業應儘速評估歐盟個資法遵循事宜



歐盟個人資料保護規則(EU General Data Protection Regulation,以下簡稱「GDPR)即將在今年五月二十五日生效。由於規範嚴謹,又有域外效力,引起世界各國注意。若未小心謹慎遵守相關規定,輕則無法取得來自歐盟之個人資料,影響與歐盟境內之企業或個人間之營業活動,重則將遭致巨額罰款(高達歐元兩千萬元或前一會計年度全球營業額之百分之四,以孰高者為準)。影響層面廣泛,台灣政府、企業、相關單位,均應對於GDPR有所體認與了解,並進而採許相關行動。
 

   那些台灣企業應注意遵循GDPR?

 
直接影響:
 
以下企業將於今年五月二十五日起直接受GDPR影響:
1. 在歐盟境內設有分公司、子公司或其他據點、分支機構者;
2. 雖未在歐盟境內設點,但因進行跨境商品或服務之交易而取得歐盟境內個人之資料,或對於歐盟境內之個人活動有所監測者
 
間接影響:
 
此外,如您的企業為歐盟企業處理個人資料或提供有關服務(如雲端服務),亦有可能因此被要求遵守GDPR之相關規範;
 
一般影響:
 
甚至未來您的企業在接到來自歐盟之個人資料之前,都會被詢問是否已遵守GDPR,否則對方可能無法將資料傳送給您的企業。
 
   GDPR和台灣個資法有哪些重要不同?
 
 
GDPR
台灣個資法
個人資料之定義
包含「location data (位置資訊)」、「on-line identifier(網路識別資料)」等
未明定,以是否能直接、間接識別個人為判斷標準
敏感性個資
包含基因、性向、健康、種族、人種、政治意見、宗教或哲學信仰、參與職業工會等。
病歷、醫療、健康檢查、基因、性生活、犯罪前科
蒐集個資之同意
須明示同意
可能取得默示同意
去鏈結化與去識別化
適用不同規範
可能適用相同規範
域外效力
適用歐盟境外之外國企業
僅對台灣人有明文規定
罰款金額
歐元兩千萬元或前一會計年度全球營業額之百分之四
最高法定額度新台幣五十萬元,可連續處罰
跨境傳輸
原則禁止,例外許可,亦即接收國之個資保護法制必須通過歐盟之評估
原則允許,例外由主管機關明令禁止
當事人特別權利
被遺忘權
拒絕權
資料可攜權
僅有被遺忘權有較為清楚之規定
要求企業設置個資保護長(Data Protection Officer)
要求在企業內部設置直接向最高管理層報告之個資保護長
僅建議配置適當人力
要求企業進行隱私影響評估(Privacy Impact Assessment, PIA)
是,詳細規定
要求企業訂定Binding Corporate Rules
是,詳細規定
資安事故之通報義務
應於發現後72小時內向主管機關報告
應即時與當事人溝通
依個別行業之主管機關所訂定之規定,向主管機關通報
於查明後以適當方式通知當事人
 
   與我們聯繫
 
承上,理律個人資料保護小組特地與平日合作之歐盟律師事務所合作,為台灣企業推出歐盟個資法遵循專案(GDPR Compliance Program),採取循序漸進之步驟,使企業客戶認識GDPR並進而遵循GDPR。專案內容從教育訓練(安排由歐盟專家視訊現場講授,同步口譯)、企業體檢、文件撰寫、法律諮詢與建議,視客戶實際需要彈性調整與搭配,全程均由台灣以及歐盟個資法專業人士負責。
 
如您的企業對於歐盟個資法遵循專案有興趣,或有相關之疑問或法律服務需求,煩請您與您在理律之聯繫窗口聯絡,或與本所個人資料保護專業分工小組之聯繫窗口曾更瑩合夥律師(kenying@leeandli.com)聯繫。

TOP