Newsletter
企業應儘速評估歐盟個資法遵循事宜
歐盟個人資料保護規則(EU General Data Protection Regulation,以下簡稱「GDPR」)即將在今年五月二十五日生效。由於規範嚴謹,又有域外效力,引起世界各國注意。若未小心謹慎遵守相關規定,輕則無法取得來自歐盟之個人資料,影響與歐盟境內之企業或個人間之營業活動,重則將遭致巨額罰款(高達歐元兩千萬元或前一會計年度全球營業額之百分之四,以孰高者為準)。影響層面廣泛,台灣政府、企業、相關單位,均應對於GDPR有所體認與了解,並進而採許相關行動。
• 那些台灣企業應注意遵循GDPR?
直接影響:
以下企業將於今年五月二十五日起直接受GDPR影響:
1. 在歐盟境內設有分公司、子公司或其他據點、分支機構者;
2. 雖未在歐盟境內設點,但因進行跨境商品或服務之交易而取得歐盟境內個人之資料,或對於歐盟境內之個人活動有所監測者
間接影響:
此外,如您的企業為歐盟企業處理個人資料或提供有關服務(如雲端服務),亦有可能因此被要求遵守GDPR之相關規範;
一般影響:
甚至未來您的企業在接到來自歐盟之個人資料之前,都會被詢問是否已遵守GDPR,否則對方可能無法將資料傳送給您的企業。
• GDPR和台灣個資法有哪些重要不同?
|
GDPR
|
台灣個資法
|
個人資料之定義
|
包含「location data (位置資訊)」、「on-line identifier(網路識別資料)」等
|
未明定,以是否能直接、間接識別個人為判斷標準
|
敏感性個資
|
包含基因、性向、健康、種族、人種、政治意見、宗教或哲學信仰、參與職業工會等。
|
病歷、醫療、健康檢查、基因、性生活、犯罪前科
|
蒐集個資之同意
|
須明示同意
|
可能取得默示同意
|
去鏈結化與去識別化
|
適用不同規範
|
可能適用相同規範
|
域外效力
|
適用歐盟境外之外國企業
|
僅對台灣人有明文規定
|
罰款金額
|
歐元兩千萬元或前一會計年度全球營業額之百分之四
|
最高法定額度新台幣五十萬元,可連續處罰
|
跨境傳輸
|
原則禁止,例外許可,亦即接收國之個資保護法制必須通過歐盟之評估
|
原則允許,例外由主管機關明令禁止
|
當事人特別權利
|
被遺忘權
拒絕權
資料可攜權
|
僅有被遺忘權有較為清楚之規定
|
要求企業設置個資保護長(Data Protection Officer)
|
要求在企業內部設置直接向最高管理層報告之個資保護長
|
僅建議配置適當人力
|
要求企業進行隱私影響評估(Privacy Impact Assessment, PIA)
|
是,詳細規定
|
無
|
要求企業訂定Binding Corporate Rules
|
是,詳細規定
|
無
|
資安事故之通報義務
|
應於發現後72小時內向主管機關報告
應即時與當事人溝通
|
依個別行業之主管機關所訂定之規定,向主管機關通報
於查明後以適當方式通知當事人
|
• 與我們聯繫
承上,理律個人資料保護小組特地與平日合作之歐盟律師事務所合作,為台灣企業推出歐盟個資法遵循專案(GDPR Compliance Program),採取循序漸進之步驟,使企業客戶認識GDPR並進而遵循GDPR。專案內容從教育訓練(安排由歐盟專家視訊現場講授,同步口譯)、企業體檢、文件撰寫、法律諮詢與建議,視客戶實際需要彈性調整與搭配,全程均由台灣以及歐盟個資法專業人士負責。
如您的企業對於歐盟個資法遵循專案有興趣,或有相關之疑問或法律服務需求,煩請您與您在理律之聯繫窗口聯絡,或與本所個人資料保護專業分工小組之聯繫窗口曾更瑩合夥律師(kenying@leeandli.com)聯繫。