2019
3/28
[法律新知]
GDPR之規範與企業因應(二)-自我審查表與企業常見問題
《歐盟通用資料保護規則》(General Data Protection Regulation,下稱「GDPR」)於2018年5月25日施行後,縱使企業本身於歐盟境內並無實體,然若有對歐盟境內之個資進行蒐集、處理時,仍可能受GDPR之規範,甚或面臨遭受鉅額裁罰之風險。據此,本所乃依據歐盟資料保護委員會(European Data Protection Board, 下稱「EDPB」)於2018年11月16日發布之GDPR域外效力相關規定之指引(下稱GDPR域外效力指引),提供企業自我審查表,並說明常見問題,以利企業了解自身是否為GDPR之規範對象,進而評估是否需設置歐盟境內代表人(EU Representative)。

適用GDPR之自我審查表

結果A:您於歐盟境內有分支機構,有GDPR規範之適用。
結果B:您於歐盟境內雖無分支機構,然因對歐盟境內個人之資料進行蒐集、處理,亦有GDPR規範之適用,且可能需指派歐盟境內代表人(EU Representative,詳後述)。

GDPR域外效力規定常見問題

Q1、 何種企業應受GDPR之規範?

下述2種企業應受GDPR之規範:
※ 在歐盟境內有「分支機構」,且個資之蒐集、處理是基於分支機構「從事之活動」而來。
※ 在歐盟境內無「分支機構」之企業,但其針對「歐盟境內之個人」為個資之蒐集、處理活動,且該活動與「對歐盟境內之個人提供商品或服務」或「監控個人」相關。

Q2、 歐盟境內的「分支機構」包括哪些?

指從事「有效且實際的活動」之「穩定設置之機構」,且不限以特定型態(例如分公司、子公司、辦事處等)或登記註冊之方式為之。若企業從事之商業活動主要係以提供網路服務為主,縱使其於歐盟境內設置之機構僅有一名雇員或代理人,也可能符合此一要件。
例如總部位於美國的汽車製造商,在比利時的布魯塞爾設有分公司,且該分公司負責管理在歐洲之營運事宜,包括行銷及廣告活動,依汽車製造商之商業活動型態觀之,該分公司應可被視為有從事「有效且實際之活動」之「穩定設置之機構」,屬於GDPR定義下的「分支機構」。

Q3、 確認個資之蒐集、處理是否基於分支機構「從事之活動」而來?

設有歐盟境內分支機構之企業,應進一步評估其個資之蒐集、處理是否基於該分支機構「從事之活動」而來,EDPB並提出兩個衡量標準:
※ 該歐盟境外之企業與其歐盟境內之分支機構從事的活動間關係是否密切?
※ 企業是否在歐盟境內獲利?
舉例而言,由中國公司經營之電子商務平台網站,雖個資之處理均於中國境內進行,然該公司在德國柏林設有歐洲辦公室,藉此進行企業對歐盟市場之商業開發以及行銷活動。由於柏林辦公室從事之活動是為了使該中國公司之電子商務平台獲利,兩者間具有密不可分之關係。據此,應認為該企業個資之蒐集、處理係基於其分支機構「從事之活動」而來而應受GDPR之規範。

Q4、 何謂「歐盟境內之個人」?

「歐盟境內之個人」不受該個人之國籍、居住所地或法定狀態之限制,亦即,凡位於歐盟境內者均屬GDPR保謢之個資,而非僅限於歐盟之公民或居民。例如於歐盟境內無任何分支機構的美國公司,提供地圖導航應用程式供旅客在紐約、舊金山、多倫多、倫敦、巴黎及羅馬等城市旅行時使用。由於該程式在使用者使用時,將蒐集、處理使用者的位置資料,以投放鄰近之餐廳、酒吧及飯店等目標性廣告,於此情形,由於此應用程式係針對位於歐盟境內的個人提供服務,縱使該使用者並非歐盟之公民或居民,亦屬「歐盟境內之個人」,故應受GDPR之規範。

Q5、 何種行為屬於「對歐盟境內之個人提供商品或服務」?

判別企業有無「對歐盟境內之個人提供商品或服務」,應考量該企業是否預期自己正對歐盟成員國中之個人提供服務,且無論商品或服務之提供為有償或無償,均不會影響其認定。單純使歐盟境內得以連結進入該企業之網站、電子郵件信箱等情形,均不足以構成此條件,EDPB提供綜合判別之指標包括:企業提供之產品或服務是否提及歐盟成員國名稱?企業是否有針對歐盟境內進行行銷或廣告活動?是否曾向搜尋引擎購買關鍵字以促進歐盟境內消費者造訪其網站?該經營活動本身是否具有國際性?企業是否提供歐盟境內之連絡專線或地址?企業網站的最高層級網域名稱是否為歐盟境內之網域名稱?企業提供之商品或服務是否有使用歐盟境內流通之的語言或貨幣?企業是否提供歐盟境內的商品運送服務?
據此,倘企業並非設置於歐盟境內,然其網站設有英文、法文、荷蘭文與德文版本,且可接受以歐元或英鎊付款,並標明送貨服務範圍限於英國、法國、荷比盧地區以及德國,綜合上述因素觀察,該企業即屬有意「提供商品或是服務予歐盟境內之個人」;反之,若臺灣之企業僅在臺灣提供服務,雖有某一居住於臺灣之德國籍客戶,由於該企業對該客戶提供之服務並非針對歐盟市場所為,故仍不屬於「對歐盟境內之個人提供商品或服務」。

Q6、 何謂「監控個人之行為」?

EDPB並非將所有線上自動蒐集個人資料之行為均視為監控行為。是否屬於監控行為,應同時考量個資的持有者或處理者是否具有特定的目的,例如是否有任何後續的行為分析或建檔行為?EDPB列舉在GDPR規範下可能被視為監控行為之類型:
※ 行為分析廣告。
※ 地理定位活動(尤其基於行銷目的所作)。
※ 透過cookies或是其他追跡技術(例如數位指紋)進行線上追蹤活動。
※ 閉路監視系統(CCTV)。
※ 市場調查以及其他以個資為基礎的行為研究。
※ 對於個人健康狀態之監控或定期回報。

Q7、 何謂「歐盟境內代表人(EU Representative)」?如何設置?

除於歐盟境內設有分支機構之企業外,縱使企業於歐盟境內無分支機構,若有從事對於歐盟境內之個人之資料蒐集、處理之活動(如上表結果B),依GDPR規定即應設置歐盟境內代表人,負責紀錄該企業之個資蒐集、處理活動,並處理與個人及當地資訊監管機關聯繫、溝通等事宜。謹簡要說明本制度如下:

(1) 設置歐盟境內代表人方式

※ 企業應以書面之服務契約指派委任一位位於歐盟境內之自然人或法人,律師事務所、顧問公司、私人企業等均可擔任,且該代表人得同時為複數企業之代表人
※ 歐盟境內代表人應設置於個資被蒐集、處理之個人所在之歐盟會員國之一境內,並應具備使用當地資訊監管機關及個人之語言溝通能力。 ※ 為維護資料保護長(Data Protection Officer,下稱DPO)之獨立性,歐盟境內代表人不得兼任DPO。
※ 歐盟境內代表人於企業違反GDPR規定而面臨裁罰時,除該企業外,代表人本身亦可能成為裁罰或追究責任之主體。

(2) 例外不須設置歐盟境內代表人之情形設置歐盟境內代表人方式

符合結果B之企業,倘進行資料處理活動僅為「個案」、「非大規模」、「非針對宗教、醫療資訊等特別種類之資料,或是與刑事判決或犯罪相關之個人資料的蒐集、處理」,或該資料處理係「由政府機關進行之資料蒐集、處理」,則例外不需設置歐盟境內代表人。然何謂「大規模」之蒐集、處理活動,應綜合考量「涉及之個人人數」、「被蒐集、處理之資料總量及範圍」、「該資料蒐集、處理活動之存續期間」以及「該活動進行之地理範圍」等因素判斷。

結語

全球搜尋引擎龍頭Google甫遭法國資訊監管機關依據GDPR重罰5,000萬歐元之鉅額罰鍰,創下GDPR施行至今最高行政罰鍰金額,足見未來歐盟成員國各監管機關對GDPR之執法密度將逐漸增強。縱使企業於歐盟境內並無實際據點,仍可能為GDPR規範之對象,建議企業應儘速對自身進行評估,並儘早規劃、落實GDPR相關之法律遵循工作,以免面臨遭歐盟各成員國之資訊監管機關裁處高額行政罰鍰之風險。


如果您需要更多資訊,歡迎聯繫~

許兆慶博士 主持律師
+886.2.2719.6955
andrew.hsu@lexprolaw.com


林欣頤律師 助理合夥律師
+886.2.2719.6955
christina.lin@lexprolaw.com


蘇琬鈺律師
+886.2.2719.6955
jercy.su@lexprolaw.com


王武龍律師
+886.2.2719.6955
will.wang@lexprolaw.com
本法規新訊僅供參考,並非正式法律意見
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>