堪稱全球最大破財平台的《GDPR:歐盟一般資料保護規章》在 5 月 25 日正式上線啦,我們緊急送上 GDPR 懶人包,讓沒時間、精力的懶人也能輕鬆服用的封包,帶你一次了解號稱超高罰鍰的 GDPR 在玩什麼把戲!
誰是 GDPR?先來段自我介紹吧!
數位匯流的時代,個人資料態樣增加的潮流下,企業要如何兼顧「個資保護」與「大數據的技術發展」呢?
GDPR:規範個人資料使用的六大原則
1. 正確性
個人資料必須確保正確無誤,如果出現不正確的個人資料,應訂立合理措施以立即刪除或修改。
2. 公開透明性
必須以「合法」、「公平」、「透明」手段來蒐集、處理個人資料。
3. 目的性
必須以明確、合法的目的來蒐集個人資料。
4. 儲存限制性
不得逾越處理個資目的的必要範圍,並在資料儲存期間做合理保管。
5. 機密性
必須以資安手段確保個人資料不被破壞或散布。
6. 最低性
必須在最低限度內蒐集、使用個人資料。
GDPR 的法規演化史
Q:咦,GDPR 是從石縫中蹦出來的嗎?
A:當然不是!帶你一起瞧瞧 GDPR 的修法進程。
近 20 年來網際網路、大數據等新興資訊科技的快速發展,對個人資料的保護產生了嶄新的挑戰。
為了強調個資保護的重視,歐盟提升了個人資料法規的法律位階:由《歐盟個資保護令》Directive 提升為《歐盟一般資料保護規章》的 Regulation 位階。
歐盟如此遙遠,GDPR 到底干台灣什麼事?
隨著專業領域的多元化發展,以及全球化下貿易量的擴展,個人資料經過跨境傳輸的機會勢必大幅提高。
治標也要治本:GDPR 的個資源頭管理
1. 界定個資
定義什麼是個人資料的保護範圍,大數據應用下,明確界定個資。
《法務部行政函釋》
如將公務機關保有的個人資料運用技術去識別化而呈現方式,已無從直接或間接識別特定個人,即非屬個人資料。
Q:動動腦:數位足跡、網站 Cookie 算不算個資保護範圍?
2. 權利義務的明確釐清
個人資料的當事人有權利行使「資料的被遺忘權」,甚至可以透過「資料可攜權」轉交他人。
3. 落實保護
妥善管理風險,如不慎資料外洩,也須於黃金 72 小時內通報主管機關。
4. 跨部門合作
GDPR 訂定企業內須設置 DPO「資料保護長」(Data Protection Officers)
DPO 設立條件:
人數規模超過 250 人,為個資高風險情狀的公司必須設立資料保護長,告知、建議個資保護的法律義務,同時為資個保護主管機關的對口。這時,跨部門的合作勢必成為重要議題。
歐盟 GDPR 真如此令人聞風喪膽?
歐盟 GDPR 一致性的合規要求,其實可以幫助企業和消費者立足於平等的立場溝通,更甚者可以讓消費者了解自己的資料,擁有資料主體的自決權,更曉得如何為企業提供幫助。
如此一來,讓消費者理解自己個資被企業使用的方式後,雙方互信基礎的建立,也許會萌發更多創新的機會!
(本文由 智由博集 授權轉載)
延伸閱讀:
文章看完覺得有幫助,何不給我們一個鼓勵