2018
6/13
[法律新知]
GDPR之規範與企業因應-下篇
《歐盟通用資料保護規則GDPR》要求特定企業應指定歐盟境內代表與資料保護長,並應建立資料保護影響評估等機制,相關企業應及早增設相關職位與制度以避免因GDPR帶來的法律風險

《歐盟通用資料保護規則》(General Data Protection Regulation,下稱「GDPR」)除擴張適用範圍及個人資料(下稱「個資」)之定義外(詳參「GDPR之規範與企業因應-上篇」),為強化個資保障,GDPR要求企業應進行資料保護影響評估、採取「設計及預設資料保護」機制,且特定企業應指定歐盟境內代表與資料保護長。此外,GDPR針對個資之跨境傳輸、個資侵害事件之通報均訂定相關規範,違反者最高可處以2,000萬歐元或前一會計年度全球年營業額4%之行政罰鍰。
GDPR與企業治理相關之重要內容包括(第1-5點請參「GDPR之規範與企業因應-上篇」):
6. 機構應進行資料保護影響評估並採取「設計及預設之資料保護」機制(第25條、第35條);
7. 適用GDPR之歐盟境外機構應指定歐盟境內代表,特定機構並應設置資料保護長(第27條、第37條);
8. 個資侵害事件發生時,機構應於72小時內通報監管機關(第33條);
9. 跨境傳輸之規範與限制(第44條至第50條);
10. 大幅提高行政罰鍰,最高可處2,000萬歐元或前一會計年度全球年營業額4%之罰鍰(第83條)。


適機構應進行資料保護影響評估並採取「設計及預設之資料保護」機制(第25條、第35條)

資料保護影響評估(Data Protection Impact Assessments)

GDPR要求:(1)使用新型科技進行資料處理;且(2)可能造成個人權利或自由高度風險時,機構應於資料處理前進行資料保護影響評估,評估之內容應包含資料處理之目的、合法性、必要性、潛在風險與個資之保護措施與確保個人權利與相關人員合法利益之機制等。若有涉及大規模個人特質評估(包括建檔行為)、大量特殊個資、大規模系統性監督公共區域等情形,更應特別於事前進行評估。由歐盟會員國資料保護官員代表組成的歐盟資料保護工作小組認為目前無法以明確數字定義「大規模」,但目前應考慮的要素有:(1)所涉及之個資主體(即擁有個資之個人,下稱「個資主體」)數目;(2)處理之個資數量與涵蓋之範圍、項目;(3)個資處理活動之時間長短;及(4)個資處理的地理範圍。
建議企業若有處理地區性、全國性或跨國性個資之需求時,即應先行進行資料保護影響評估。此外,倘企業判斷自身有造成高度個人自由、權利侵害或個資洩漏之風險,亦應事前進行資料保護影響評估並留存相關紀錄,以符合GDPR之規範。


採取「設計及預設之資料保護」(Data Protecttion by Design and by Default)機制

GDPR要求機構對於個資處理應採取適當的科技化且有組織的措施,例如將資料假名化,並遵守個資蒐集最小化原則,同時應預設僅處理符合特定目的且必要限度範圍內之個資。GDPR並鼓勵採用第42條規範之歐盟國家認證機制,作為企業符合上開要求之具體方法。建議企業於建置新型資訊系統時,應將上開要求之資料保護機制納入考量,並與建置單位進行充分溝通,同時密切注意歐盟會員國之認證機制程序,以確保自身資料處理系統與相關措施均符合GDPR之規定。

適用GDPR之歐盟境外機構應指定歐盟境內代表,特定機構並應設置資料保護長(第27條、第37條)

指定歐盟境內代表

GDPR要求適用GDPR之歐盟境外企業以書面指定歐盟境內之代表,且該代表應設立在個資主體所在之一的歐盟會員國境內,代表人應具有充分授權以處理所有監管機關要求之與個資相關之事宜,倘企業有違法情形者,相關執行程序得對該代表人為之。但若個資為偶然性而非常態性取得,且並無涉及個人敏感資料或大規模處理個資之情形,則不須指派代表人。
是以,建議未於歐盟境內設立據點,但因營運將對歐盟居民提供服務、商品或監控行為,並因此常態性取得個資之企業盡速以書面指定具備足夠權限之歐盟境內代表人,以符合GDPR之要求。


設置資料保護長(Data Protection Officer,下稱「DPO」)

如企業之核心活動須定期且系統性的大規模監控個資,或所蒐集之個資包括個人敏感性資料或前科、犯罪資訊,則企業應指定具備專業資格及知識之DPO。DPO可以是公司內部人員,亦可以是外部專業人士,但DPO之職務應具有相當之獨立性,不得因執行職務而遭解任,且應直接向企業最高管理階層報告,DPO雖得兼任其他職務,但不得使其職務與DPO之職責產生利害衝突。DPO之職務廣泛,包括依據GDPR對企業之資料處理、保護政策進行監督、建議、接受諮詢與提供相關訓練、法令與審計之遵循,並與監管機關合作。
因此,建議如信用金融機構、消費性機構、社群網站等因企業營運本質將定期、系統性大規模監控個資之企業應立即任命公司內部人員或委任外部專業顧問擔任DPO,由DPO定期審視企業內部之系統安全、隱私權保護政策等措施與執行狀況,同時提供內部教育訓練、回應監管機關之要求等,以避免遭受高額行政罰鍰之風險。


個資侵害事件發生時,機構應於72小時內通報監管機關(第33條)

個資侵害事件發生時,除該侵害事件並無個人權利侵害之風險等情形外,機構均應於72小時內通報監管機關,倘該資料侵害事件可能造成個人權利或自由高度風險時,機構並應同時告知個資主體。若機構無法於72小時內進行通報,應於通報時同時告知遲延理由。
是以,倘企業發生個資侵害或洩漏之情形,建議於第一時間通報監管機關,並保存處理該事件之完整紀錄,以利後續向主管機關回報、舉證侵害事件發生之情形與後續處理及提出相關補救措施。


跨境傳輸之規範與限制(第44條至第50條)

倘機構將個資傳輸至歐盟境外之第三國或國際組織,即屬跨境傳輸。如GDPR認證第三國或國際組織有足夠的資料保護水準,則機構可直接進行傳輸。然如非GDPR認證之第三國或組織,則機構進行跨境傳輸前應提供適當的個資保護措施,並應確保個資主體於該國或組織所在國有可執行且有效的權利救濟管道。截至2018年6月26日為止,GDPR認證可直接進行跨境傳輸之國家有:安道爾(Andorra)、阿根廷、加拿大、法羅群島(Faroe Islands)、格恩西(Guernsey)、以色列、馬恩島(Isle of Man)、澤西(Jersey)、紐西蘭、瑞士、烏拉圭以及美國(受隱私盾框架 規範),日本與南韓兩國則正在洽談中。
倘機構未符合以上要求,仍有特定例外情形可直接進行跨境傳輸,包括:取得個資主體之明確之同意、移轉資料係基於個人之請求或履行契約、締結契約前所必要之措施、為重要公共利益之維護或為行使法律上利益所必要、為保護當事人重要利益或依照歐盟會員國法登記須向公眾提供資訊等情形。
由上可知,GDPR嚴格控管個資之跨境傳輸,考量企業不易事前確保個資主體於資料接收國有足夠的權利救濟管道,建議企業優先將個資跨境傳輸至歐盟認證之第三國,或於跨境傳輸前,確認自己符合GDPR規範之例外情形或告知並取得個資主體之明確同意,並留存相關紀錄,以利於爭議發生時舉證自己符合GDPR之規定,減少遭高額行政罰鍰或遭個人請求損害賠償之風險。

大幅提高行政罰鍰,最高可處2,000萬歐元或前一會計年度全球年營業額4%之罰鍰(第83條)

GDPR大幅提高行政罰鍰金額,並依據違反之情節、因素訂定不同之罰鍰門檻。
如有違反未成年人同意條件(第8條)、未進行資料保護影響評估(第25條)、未指派歐盟境內代表(第27條)、未於處理個資時提供安全措施(第32條)、未於侵害發生後及時通報監管機關或本人(第33條)、未採取「設計及預設之資料保護」機制(第35條)、未設置資DPO(第37條)等情形,最高可處以1,000萬歐元之行政罰鍰,如機構為企業者,可處以前一會計年度2%之罰鍰,並以兩者數額較高者為準。
違反一般或特殊個資之處理原則或處理合法性(包括取得同意之條件)(第5、6、7、9條)、妨害個資主體之權利(第12-22條)、違法跨境傳輸(第44-49條)、違反依照GDPR通過之會員國法律所定之任何義務或監管機關之暫時或永久性停止傳輸之命令者,最高可處以2,000萬歐元之行政罰鍰,如機構為企業者,可處以前一會計年度4%之罰鍰,並以兩者數額較高者為準。
綜上可知,GDPR對於企業未依GDPR要求建立配套機制者處以較低罰鍰;反之,對於違反GDPR要求之個資保護機制者,則處以雙倍罰鍰,最高可處以跨國企業全球年營業額之4%,有可能影響企業該年度之營運表現。建議企業經營者應立即檢視公司與合作廠商是否均已符合GDPR之要求,以避免遭高額裁罰之風險。


結語

為強化個資保障,GDPR嚴格規範企業應配合採取之機制,可預期未來向歐盟居民提供商品或服務之企業之法遵成本將大幅提高。建議應適用GDPR之企業盡速指派歐盟境內代表(如適用)、DPO,並建立資料保護影響評估等機制。企業並應檢測公司網站、系統是否已符合GDPR之要求,更應與相關合作廠商檢討、改進公司之個資保護機制,針對隱私權聲明條款、個資主體可能詢問之問題與回覆方式、未來合作廠商之契約等文件建立合規範本。更重要者,因GDPR方施行不久,許多規範細節尚待進一步補充、發展,建議企業持續追蹤GDPR之相關子法及歐盟各會員國之後續立法,以及時配合調整公司相關規範,降低觸法風險。


如果您需要更多資訊,歡迎聯繫~

許兆慶博士 主持律師
+886.2.2719.6955
andrew.hsu@lexprolaw.com


林欣頤律師 助理合夥律師
+886.2.2719.6955 ext. 203
christina.lin@lexprolaw.com


蘇琬鈺 律師
+886.2.2719.6955 ext. 109
jercy.su@lexprolaw.com
本法規新訊僅供參考,並非正式法律意見
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>