2018.8.21
李蒂娜 律師
GDPR是歐洲議會及歐盟理事會在2016年4月27日通過的規則,全名為「個人資料保護一般規則(General Data Protection Regulation)」,簡稱GDPR,GDPR除了前言外,分成11章,共99條條文。從2018年5月25日開始施行。從通過到施行有2年的緩衝期,讓歐盟會員國及其他適用GDPR的各國企業可以有法律遵循(legal compliance,下稱「法遵」)的準備時間。
GDPR的前身是1995年的「個人資料保護指令(Data Protection Directive)」。「規則」跟「指令」的差別在於「指令」必須由各會員國入法才會有拘束力,「規則」則是各會員國一體適用,直接有拘束力。
GDPR能夠以「規則」來通過,代表當時歐盟28個會員國都願意放棄某種程度的主權,由歐盟來決定各國個人資料要如何保護、保護範圍多大、違反的處罰多強。
從個人及企業的角度而說,一般人的個人資料可以得到更完善的保護,而GDPR雖然號稱史上最嚴格的個人資料保護法,但是各企業在歐盟各會員國不再需要根據所在國不同將相關文件及設備在地化(localization),有效降低法遵成本,讓個人資料可以在會員國間自由流通,達到數位單一市場的共同目標。
雖然說GDPR是主要適用在歐盟的會員國,但是近年來,由於國際貿易產品、服務跨境流通,加上電子商務快速發展,透過網路購買商品或服務已成為現代人繁忙生活中不可或缺的好幫手,購物網站、社群網站、航空公司、旅行社、飯店、銀行等天天在處理著你我的個人資料,這些企業縱使未在歐盟設點[1] (Establishment),但是如果提供商品或服務給在歐盟的資料主體(Data Subject,下稱「個人」)或者監看(Monitoring)個人在歐盟的行動都可能有GDPR的適用。
由於我國個人資料保護法與GDPR的規定有所出入,因此,在台灣的企業除了遵守我國的個人資料保護法外,也需要確認是否有GDPR的適用,假使是在GDPR的適用範圍內,就有必要根據GDPR相關規定進行盤點,瞭解所持有之在歐盟個人之個人資料種類及數量,設計符合相關規定的外部及內部稽核與控制文件和程序,並於系統、程式設計伊始就應該考量個人資料保護,僅處理[2]必要的個人資料,達到個人資料最少化,以確保企業的個人資料處理合法、正確、透明、安全無虞。
本文透過參考歐盟Article 29 Working Party(下稱WP 29)公布的準則,簡要說明對我國比較重要的二個GDPR概念,希望能在企業判斷有無適用及適用GDPR時有所助益。
一、境外管轄(Extraterritoriality)
1. 在歐盟有設點:
是否在歐盟境內實際處理在歐盟個人的個人資料,在所不問。例如雖然是歐盟的公司,但實際上處理是在美國或者雲端,也會有GDPR的適用。
2. 在歐盟沒有設點:
(1) 但提供在歐盟的個人商品或服務,不問是否需要付款(例如:試用);或者監看在歐盟個人於歐盟境內的行動(如心率手環、智能檢測手環),都會有GDPR的適用[3]。
(2) 甚麼叫做「提供」在歐盟的個人服務或商品?主要是指以在歐盟的個人為行銷目標,例如付款方式可使用歐元、使用歐盟某國特定的語文(如有法文版)或提到在歐盟的客戶曾接受服務或購買商品就會被認為是以在歐盟的個人為行銷目標。
3. B-B也會變成B-C:
GDPR是適用於B-C的情況,也就是提供商品或服務的對象必須是個人而非其他企業, 如果只是單純企業與企業間的買賣或提供服務,則不在適用之列。但是企業必須注意,提供商品或服務後,有無提供商品或服務給該等國外企業的顧客,舉例來說,A公司將商品賣給B公司,因為是B-B,所以在這個商品買賣上,並不會有GDPR的適用,但是,如果A公司提供保證書,要商品的最終使用者上網登入個人資料提供保固服務等,而最終使用者為在歐盟的個人,就是提供服務給歐盟的個人,A公司就會有GDPR的適用。
4. 除符合不需設代表(處)的例外情況外,適用的企業就必須在歐盟設代表(處)[4],如果應設代表(處)而未設,最高行政罰鍰可以到1000萬歐元或前一個會計年度全球營業總額的2%[5]。
二、同意(Consent)
1. 僅憑「同意」合法處理個資其實很危險
GDPR裡可以合法處理個人資料的事由,共有6種[6]。除了個人的「同意」外,還有履約所必要或締約前因個人要求所採取之步驟、法律明文、保護個人或他人之重大利益、基於公共利益或公務機關執行法定職權之必要、追求正當利益之目的所必要等5種。
雖然個人的「同意」列在第一種,但並不代表公司應該依照排列先後順序考量,反而應該優先尋找有無其他種合法處理事由,有必要時,再加上「同意」來確保處理個人資料的合法性。主要原因是因為,GDPR裡也要求同意必須是可以隨時撤回的。所以如果所憑藉的處理基礎只有「同意」,那在同意撤回後,個人的許多權利包括資料刪除權等都會發生,後續複雜的問題也因此衍生,因此,如果能多多利用其他列舉的事由為基礎,會是比較妥當的方式。
由於GDPR裡將個人資料分成兩類,不同的個人資料,要求的「同意」標準也就有所不同。 不同種類個人資料,不同程度的同意。
(1) 一般個人資料:
GDPR裡將「同意」定義為個人在被告知應告知事項後,在自由意志下,就基於特定目的處理其個人資料的要求,給予明確肯定之表示[7]。
a. 同意應該是在告知了應告知事項後所做出的決定[8]:應該要告知的項目至少包括:資料管理者的身分及聯絡方式(誰要我的個人資料?)、處理目的及依據(為甚麼要我的個人資料?)、蒐集及使用哪些個人資料(要我的哪些個人資料?)、個人有甚麼權利、自動化處理個人資料作成決定(Automated individual decision-making)、(如果有跨境傳輸)跨境傳輸的風險[9]等。
b. 同意必須是在自由意志下所給予(freely given)的:主要在強調個人有真正的選擇權(Genuine Choice),例如,我要下載使用修圖軟體app,你就不可以叫我開GPS讓你定位我否則我就沒辦法使用,因為這兩者目的並不相容(not compatible)。在這種情況下,我並沒有真正的選擇權[10]。
c. 同意必須是清楚(Unambiguous)的:就是要有書面或口頭的表示,使用的方式也可以是電子方式,
(2) 特別種類個人資料:
這類個人資料的同意,GDPR第9條裡增加了「明確」(Explicit)的要求,例如撰寫同意書、填寫表格後掃描以電郵寄送或是簽名後上傳或使用電子簽章,甚至是電話錄音,都能符合這個要求,要求較為嚴格。
3. 未滿16歲人的同意:提供網路服務給未滿16歲或更小(授權各會員國訂定)的未成年人,就處理個人資料方面,必須由法定代理人代為或授權為之,而且資料管理者取得同意後,也要盡一切合理的努力去確認同意為真正。
4. 罰則:
如果沒有得到處理一般個人資料、特殊種類個人資料的同意[11](除有其他合法事由外)而對個人資料進行處理,最高行政罰鍰可以到2000萬歐元或4%前一個會計年度全球營業總額[12]。至於違反有關未滿16歲人同意的規定,最高則可以罰到1000萬歐元或前一個會計年度全球營業總額的2%[13]。
[1] 指在歐盟有效、真正運作的經常性安排,是否有法人格在所不問。詳參GDPR前言第22段。
[2] 請注意GDPR並未如我國區分蒐集、處理及使用,一概以「處理」稱之。詳參GDPR第4條有關「processing」的定義。
[3] 參GDPR第3條、第27條。
[4] 參GDPR第27條。
[5] 參GDPR第83條第4項。
[6] 參GDPR第6條。
[7] 參GDPR第4條第1項第(11)款。
[8] 參GDPR第13條及第14條。
[9] 參WP 29發佈之Guidelines on Consent under Regulation 2016/679。
[10] 同上。
[11] 參GDPR第6條、第7條、第9條。
[12] 參GDPR第83條第5項。
[13] 參GDPR第83條第4項。