什麼是GDPR?三分鐘帶你了解「史上最嚴格個資法」相關規定

相信各位這陣子都收到不少來自 Google、Facebook 等網路服務的「GDPR 規定」通知吧?

到底這是什麼東西,為何各大網路巨頭都要發出相關聲明呢?

跟你、我、我們所在的公司是否有關?

本篇文章用最簡單的方式,告訴大家這個「史上最嚴格個資法」GDPR 到底是什麼。


簡單來說,GDPR 是什麼?

GDPR 全名為「General Data Protection Regulation」(一般資料保護規定),類似於台灣的個資法;

雖然這項規定目前僅適用於歐盟,但其實你所在的公司也非常有可能需要受到 GDPR 的規範,

原因可見下一段「誰需要遵守 GDPR」。

至於 GDPR 到底是什麼?

簡單一句話說明,就是「歐盟公民享有資料刪除、更改、轉移的權利,且企業需保護用戶個資」,

這項規定於 2016 年通過,並給予兩年的緩衝期,目前已經於 2018/5/25 正式上路。

這項法規是根據被遺忘權為基礎發展的,使用者可以要求擁有資料的一方,

刪除所有個人資料的連結、副本、複製品、可攜帶權等等;

也就是說,你可以要求 Google、Apple 等科技巨頭完全刪除你的資料,或是把資料轉移到其他服務上。

但除了網路服務以外,需要受到 GDPR 規範的企業還有很多。

 

誰需要遵守 GDPR?

(圖片來源:微軟)


但只要符合下列條件,就必須適用 GDPR:

  • 客戶有歐盟公民
  • 雇用歐盟公民員工
  • 與歐盟供應商合作
  • 不只企業、非營利組織與政府也適用

 

也就是說,如果你的公司或網站有來自歐盟的用戶、有歐盟的分公司,

或是與歐盟所在的公司有商業往來,基本上就要適用於 GDPR。

以網路無遠佛屆的特性,基本上任何國際網站都必須要適用這項規定,

這也是為什麼 Google、Facebook、Dropbox、Airbnb 等網站最近狂發信的原因了。

但這項規定也不局限於網路,就算是餐廳、航空公司、銀行、計程車,只要握有歐盟客戶的任何資料,

像是姓名、住址、電話、信用卡等等,就必須受到 GDPR 的規範,幾乎是包含了全部產業。

另外,由於歐盟向來是世界人權隱私保障的指標,

因此也可預期 GDPR 的相關規定在不久後,也會適用於歐盟以外的其他國家。

 

GDPR 保護哪些個資?怎樣算違法?

GDPR 保護的個資種類非常多,像是電話、地址、車牌、指紋、相片、郵件內容、問卷,甚至地理位置、社會認同等等。

在數位領域,Cookie、IP、ID、社群網站活動紀錄也都包含其中。

至於怎樣是違反 GDPR,可以分為以下幾種:

  • 保護不周:企業對民眾個資保護不周,被竊取、外洩。就算個資未外洩,只要防護不周就算違反。
  • 脫離約定目的、缺乏正當性:像是把某活動搜集的個資,用於另一個無關的活動或機構使用。
  • 未給予當事人應有權利:包括前面所述的「刪除」、「更正」、「轉移」等權利。

如果沒有妥善處理個資或是造成外洩,需要在 72 小時內通報給主管機關;

而企業如果沒有執行個資保護風險評估、沒有保護機制、違法向第三國提供用戶個資等等,

可罰以 2000 萬歐元(約台幣七億元)或全球營業額的 4% 罰鍰。

由於這項規定在 5/25 開始實行,因此若現在還不清楚自己的企業是否適用 GDPR 規範,

或是現有機制是否會違反 GDPR,建議尋找相關機構或專業的顧問單位協助。


來源:蘋果仁 的 什麼是GDPR?三分鐘帶你了解「史上最嚴格個資法」相關規定