通用數據保護規則(GDPR) 將於2018年5月25日生效。我們也接到越來越多的客戶詢問關於 GDPR 與歐盟規範細節以及企業如何因應的問題
(Question) 企業主: 如果我們公司於全球都有業務,甚至在歐洲地區有分公司的話,該如何因應 GDPR 規範避免受罰?
因此,在本文中,我們將關於 GDPR 的要點,並解釋公司應該採取怎樣的措施因應。
目錄
- 什麼是GDPR
- 在理解GDPR時需要注意的一點
- 受GDPR影響的中國與台灣組織
什麼是GDPR
由歐洲議會,歐洲理事會和歐盟委員會制定的個人信息保護框架。 “歐盟一般數據保護條例”(GDPR:General Data Protection Regulation)是正式名稱。
雖然在全球化和雲服務的使用擴大以及所獲取和分析的數據大量增加(稱為大數據)的背景下,保護個人信息的重要性日益增加,同時由於網絡攻擊,內部欺詐等原因,個人信息也隨之增加。信息洩漏的風險也迅速上升。
1995年制定了歐盟數據保護指令,但GDPR作為更為嚴格的替代方式生效。 它旨在重新控制個人數據並加強對歐盟(歐盟)內所有個人(公民和居民)的保護。 GDPR將於2012年起草,於2016年4月通過,併計劃於2018年5月25日生效,其中許多關於企業收集和處理個人數據的規範。
此外,歐盟數據保護指令是一個“指令”,其中每個成員國的法律分別發布,但由於GDPR是“法規”,所有歐盟成員國共同的法律是否通用其中有很大的差異。
在理解GDPR時需要注意的一點
讓我們來看看逐個理解GDPR所需的幾點。
【數據處理】
個人資料(姓名和信用卡號碼)。 公司數據,例如公司數據,死者數據,完全匿名的數據被排除在外。
【應用對象】
位於歐盟的數據管理員(從歐盟居民收集數據的組織)或處理器(將數據作為數據管理員代表處理的組織)或數據實體(個人)。 即使在歐盟沒有基地,在向歐盟居民提供或監測產品或服務時也在規範內。
【義務內容】
個人信息的處理
幾乎所有要對個人數據執行的操作(如收集,存儲,更改,披露,瀏覽和刪除)都與處理相對應 必須指定要處理的個人數據及其過程
- 為了收集和使用個人數據,必須明確做出有效的同意
- 為了處理和存儲個人數據,應採取適當的安全控制措施
- 個人數據不得超過實現處理個人數據目的所需的時間
- 如發生個人資料侵權(信息洩露),企業應在72小時內通知監督機構。 另外須毫不拖延地通知數據實體。
- 定期處理大量個人數據的組織必須在歐洲指定一名數據保護官員和一名代表。
個人信息的傳遞
原則上禁止將 EEA(歐洲經濟區)內的個人數據傳輸到國外(第三國)
規範: 所有的企業網站/ App 都必須滿足其中一個要求。
- 取得用戶確認關於資料蒐集的協議
- 建立約束性的規則並列於網站上
- 資料收集標準合同條款(SCC)
[制裁]
如果違反上述GDPR規定的義務內容,會以企業上一年度的全球銷售額的4%或最高 2000萬歐元(約 70140 億台幣)- 其中採取較高金額為罰款這一點。 (“全球銷售”是指如果歐盟的一家子公司違反GDPR,將對集團合併實施制裁。)
受GDPR影響的中國與台灣的公司或組織
在中國與台灣: 以下三種情況其組織和機構也會受到 GDPR 的影響。
- 公司在歐盟擁有子公司,分支機構,銷售辦事處和代表處
- 公司從中國與台灣向歐盟提供貨物和服務
- 我們受託處理來自歐盟(數據中心業務實體,雲供應商等)的個人數據,
例如,如果您在歐盟設立分支機構或銷售辦事處並聘請當地員工為僱員,則需要採取措施根據GDPR保護員工的個人數據。 許多公司已根據1995年制定的歐盟數據保護指令開發了個人信息保護管理措施。因此,在2018年實施GDPR之前,更嚴格函授是必要的。
此外,即使您沒有海外基地,歐盟居民在從中國與台灣網站購買商品時也會輸入名稱,電話號碼,信用卡號碼等,這點也必須滿足 GDPR 的規範。
想了解更多關於 GDPR 的詳細信息,可前往以下網址 https://university.tenten.co/tags/gdpr
我已經了解 GDPR 了,那該如何尋求幫助?
如果需要更進一步關於 GDPR 顧問諮詢及讓網站符合 GDPR 規範的導入服務可以與 HubSoda 聯繫
史上最嚴資料保護令歐盟 GDPR 來了!只要客戶、合作夥伴來自歐盟,就無法置身事外 | GDPR 解決方案