【懶人包】史上最嚴苛 GDPR 來襲,莫急莫慌莫害怕

作者 | 發布日期 2018 年 06 月 04 日 9:00 | 分類 科技政策 , 資訊安全 follow us in feedly

堪稱全球最大破財平台的《GDPR:歐盟一般資料保護規章》在 5 月 25 日正式上線啦,我們緊急送上 GDPR 懶人包,讓沒時間、精力的懶人也能輕鬆服用的封包,帶你一次了解號稱超高罰鍰的 GDPR 在玩什麼把戲!



誰是 GDPR?先來段自我介紹吧!

數位匯流的時代,個人資料態樣增加的潮流下,企業要如何兼顧「個資保護」與「大數據的技術發展」呢?

GDPR:規範個人資料使用的六大原則

1. 正確性

個人資料必須確保正確無誤,如果出現不正確的個人資料,應訂立合理措施以立即刪除或修改。

2. 公開透明性

必須以「合法」、「公平」、「透明」手段來蒐集、處理個人資料。

3. 目的性

必須以明確、合法的目的來蒐集個人資料。

4. 儲存限制性

不得逾越處理個資目的的必要範圍,並在資料儲存期間做合理保管。

5. 機密性

必須以資安手段確保個人資料不被破壞或散布。

6. 最低性

必須在最低限度內蒐集、使用個人資料。

GDPR 的法規演化史

Q:咦,GDPR 是從石縫中蹦出來的嗎?

A:當然不是!帶你一起瞧瞧 GDPR 的修法進程。

近 20 年來網際網路、大數據等新興資訊科技的快速發展,對個人資料的保護產生了嶄新的挑戰。

為了強調個資保護的重視,歐盟提升了個人資料法規的法律位階:由《歐盟個資保護令》Directive 提升為《歐盟一般資料保護規章》的 Regulation 位階。

歐盟如此遙遠,GDPR 到底干台灣什麼事?

隨著專業領域的多元化發展,以及全球化下貿易量的擴展,個人資料經過跨境傳輸的機會勢必大幅提高。

治標也要治本:GDPR 的個資源頭管理

1. 界定個資

定義什麼是個人資料的保護範圍,大數據應用下,明確界定個資。

法務部行政函釋

如將公務機關保有的個人資料運用技術去識別化而呈現方式,已無從直接或間接識別特定個人,即非屬個人資料。

Q:動動腦:數位足跡、網站 Cookie 算不算個資保護範圍?

2. 權利義務的明確釐清

個人資料的當事人有權利行使「資料的被遺忘權」,甚至可以透過「資料可攜權」轉交他人。

3. 落實保護

妥善管理風險,如不慎資料外洩,也須於黃金 72 小時內通報主管機關。

4. 跨部門合作

GDPR 訂定企業內須設置 DPO「資料保護長」(Data Protection Officers)

DPO 設立條件:

人數規模超過 250 人,為個資高風險情狀的公司必須設立資料保護長,告知、建議個資保護的法律義務,同時為資個保護主管機關的對口。這時,跨部門的合作勢必成為重要議題。

歐盟 GDPR 真如此令人聞風喪膽?

歐盟 GDPR 一致性的合規要求,其實可以幫助企業和消費者立足於平等的立場溝通,更甚者可以讓消費者了解自己的資料,擁有資料主體的自決權,更曉得如何為企業提供幫助。

如此一來,讓消費者理解自己個資被企業使用的方式後,雙方互信基礎的建立,也許會萌發更多創新的機會!

(本文由 智由博集 授權轉載)

延伸閱讀: