堪称全球最大破财平台的《GDPR:欧盟一般资料保护规章》在 5 月 25 日正式上线啦,我们紧急送上 GDPR 懒人包,让没时间、精力的懒人也能轻松服用的封包,带你一次了解号称超高罚锾的 GDPR 在玩什么把戏!
谁是 GDPR?先来段自我介绍吧!
数位汇流的时代,个人资料态样增加的潮流下,企业要如何兼顾“个资保护”与“大数据的技术发展”呢?
GDPR:规范个人资料使用的六大原则
1. 正确性
个人资料必须确保正确无误,如果出现不正确的个人资料,应订立合理措施以立即删除或修改。
2. 公开透明性
必须以“合法”、“公平”、“透明”手段来搜集、处理个人资料。
3. 目的性
必须以明确、合法的目的来搜集个人资料。
4. 储存限制性
不得逾越处理个资目的的必要范围,并在资料储存期间做合理保管。
5. 机密性
必须以资安手段确保个人资料不被破坏或散布。
6. 最低性
必须在最低限度内搜集、使用个人资料。
GDPR 的法规演化史
Q:咦,GDPR 是从石缝中蹦出来的吗?
A:当然不是!带你一起瞧瞧 GDPR 的修法进程。
近 20 年来互联网、大数据等新兴资讯科技的快速发展,对个人资料的保护产生了崭新的挑战。
为了强调个资保护的重视,欧盟提升了个人资料法规的法律位阶:由《欧盟个资保护令》Directive 提升为《欧盟一般资料保护规章》的 Regulation 位阶。
欧盟如此遥远,GDPR 到底干台湾什么事?
随着专业领域的多元化发展,以及全球化下贸易量的扩展,个人资料经过跨境传输的机会势必大幅提高。
治标也要治本:GDPR 的个资源头管理
1. 界定个资
定义什么是个人资料的保护范围,大数据应用下,明确界定个资。
《法务部行政函释》
如将公务机关保有的个人资料运用技术去识别化而呈现方式,已无从直接或间接识别特定个人,即非属个人资料。
Q:动动脑:数位足迹、网站 Cookie 算不算个资保护范围?
2. 权利义务的明确厘清
个人资料的当事人有权利行使“资料的被遗忘权”,甚至可以透过“资料可携权”转交他人。
3. 落实保护
妥善管理风险,如不慎资料外泄,也须于黄金 72 小时内通报主管机关。
4. 跨部门合作
GDPR 订定企业内须设置 DPO“资料保护长”(Data Protection Officers)
DPO 设立条件:
人数规模超过 250 人,为个资高风险情状的公司必须设立资料保护长,告知、建议个资保护的法律义务,同时为资个保护主管机关的对口。这时,跨部门的合作势必成为重要议题。
欧盟 GDPR 真如此令人闻风丧胆?
欧盟 GDPR 一致性的合规要求,其实可以帮助企业和消费者立足于平等的立场沟通,更甚者可以让消费者了解自己的资料,拥有资料主体的自决权,更晓得如何为企业提供帮助。
如此一来,让消费者理解自己个资被企业使用的方式后,双方互信基础的建立,也许会萌发更多创新的机会!
- Data protection: Better rules for small business
(本文由 智由博集 授权转载)
延伸阅读:
- 欧盟新个资法上路倒数,Google 设法缓解紧张情绪
- 马克祖克柏:欧盟隐私新规扩及 Facebook 全球用户
- GDPR 上路,国发会主委陈美伶:做好准备不必太紧张
- 【冷阅读】严格的隐私权法律 GDPR,可能让 Google 跟 Facebook 在欧洲更接近垄断地位
