以下是歐盟的新法案,台灣企業連個資法都沒辦法做好,如何能做好歐盟的標準?
GDPR 法案將於 2018 年 5 月 24 日生效,主要目標如下:
1.每個被企業蒐集資料的使用者都必須善盡告知義務。
2.每個使用者都能確保自己找到企業相關的負責人,了解自己被蒐集的資訊。
3.需要有至少一個合法依據才能處理使用者的資料:包括公共利益、當事者同意(或一定需要資料才能處理的動作)、不侵犯人身基本權利的情況下才能蒐集並處理使用者資料。
4.每個企業都必須要有人專門處理相關資料問題,除了每個國家都必須要有獨立監管機構,每個企業也要有獨立小型的監管機構,避免資料被駭客誤用。
5.所有使用者資料都必須匿名化,將使用者資料加密,避免讓資料可追溯到使用者本人(也就是所謂的差別隱私)。
根據歐盟發表的資料顯示,從 1995 年開始,歐盟就已在確立於網路時代保護使用者隱私的目標。表面上看來,歐盟即將施行的 GDPR 法規,幾乎可讓重視使用者隱私的人們歡欣鼓舞,但這背後付出的龐大成本,也意味著新創或一般企業難以從這個角度切入或與 Google、Facebook 競爭。
請參考:
https://www.ithome.com.tw/news/121786
先從 重點2:企業必須設置資料保護長(DPO) 開始吧! 如果公司不願意設置,就不用談下一步了。
GDPR將企業分為資料控制者(Data controller)和資料處理者(Data processor),但不管是哪一種角色,只要涉及到蒐集歐盟民眾的個資,企業就必須依規定設置資料保護長(Data Protection Officer,DPO),並證實。
此文章 https://www.ithome.com.tw/news/121786
中的重點2:企業必須設置資料保護長(DPO)是錯的!
關於資料保護長(Data Protection Officer,DPO), 法條是:
https://gdpr-info.eu/art-37-gdpr/
而設置的強制條件是:
http://ec.europa.eu/newsroom/document.cfm?doc_id=44100
Article 37(1) of the GDPR requires the designation of a DPO in three specific cases:
a) where the processing is carried out by a public authority or body;
b) where the core activities of the controller or the processor consist of processing operations, which require regular and systematic monitoring of data subjects on a large scale; or
c) where the core activities of the controller or the processor consist of processing on a large scale of special categories of data or personal data relating to criminal convictions and offences.
意思是:
您的企業必須是大型公共主體或處理大量個資, 而這些個資只限定"歐洲全員國和脫歐後的英國"的人民.
對於台灣的企業, 不會有符合的.
關於GDPR, 基本觀念是, 原本企業對個資的處理是Opt-Out, 擇出, 改為Opt-in, 擇入. 意思是個人只能選擇退出(Opt-In)企業處理個資的系統, 改為個人依法有權選擇進入(opt-in)企業的個資處理系統來編輯, 檢視, 匯出, 與移除個人個資. 因此, 有三大要求:
個人資訊包含: 網站跟蹤器(cookie), 網站紀錄(log), 和個人資料(personal data). 因此, 有幾個重點:
本文不能涵蓋所有條文, 請研讀本文中所列出的條文與規範.