GDPR該如何導入台灣企業？

資安

彭偉鎧 2018-05-03 16:45:31 ‧ 5470 瀏覽

分享至

以下是歐盟的新法案，台灣企業連個資法都沒辦法做好，如何能做好歐盟的標準？

GDPR 法案將於 2018 年 5 月 24 日生效，主要目標如下：

1.每個被企業蒐集資料的使用者都必須善盡告知義務。

2.每個使用者都能確保自己找到企業相關的負責人，了解自己被蒐集的資訊。

3.需要有至少一個合法依據才能處理使用者的資料：包括公共利益、當事者同意（或一定需要資料才能處理的動作）、不侵犯人身基本權利的情況下才能蒐集並處理使用者資料。

4.每個企業都必須要有人專門處理相關資料問題，除了每個國家都必須要有獨立監管機構，每個企業也要有獨立小型的監管機構，避免資料被駭客誤用。

5.所有使用者資料都必須匿名化，將使用者資料加密，避免讓資料可追溯到使用者本人（也就是所謂的差別隱私）。

根據歐盟發表的資料顯示，從 1995 年開始，歐盟就已在確立於網路時代保護使用者隱私的目標。表面上看來，歐盟即將施行的 GDPR 法規，幾乎可讓重視使用者隱私的人們歡欣鼓舞，但這背後付出的龐大成本，也意味著新創或一般企業難以從這個角度切入或與 Google、Facebook 競爭。

窮嘶發發發 iT邦高手 1 級 ‧ 2018-05-04 09:22:46 檢舉

1 先做， 2-5 先做計劃，至於實施，等告了再說 ( 老闆不願意花錢就這麼做 )
願意花錢 ( 預算有百萬以上 ) 那就可以逐步把 2-5 規劃實施

純真的人 iT邦大師 1 級 ‧ 2018-05-04 11:16:55 檢舉

無視的人很多...

newkevin iT邦高手 1 級 ‧ 2018-05-04 14:00:48 檢舉

1 合約告知 (網頁專頁介紹)
2 在合約告知電話跟負責人 (可能會由資訊萬能工負責)
3 合約告知 (網頁專頁每個法條介紹 )

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

richardsuma

iT邦大師 1 級 ‧ 2018-05-04 01:13:43

請參考:
https://www.ithome.com.tw/news/121786

先從 重點2：企業必須設置資料保護長（DPO） 開始吧! 如果公司不願意設置，就不用談下一步了。

GDPR將企業分為資料控制者（Data controller）和資料處理者（Data processor），但不管是哪一種角色，只要涉及到蒐集歐盟民眾的個資，企業就必須依規定設置資料保護長（Data Protection Officer，DPO），並證實。

回應
分享
檢舉

登入發表回應

bizpro

iT邦大師 1 級 ‧ 2018-05-04 11:40:54

此文章　https://www.ithome.com.tw/news/121786　
中的重點2：企業必須設置資料保護長（DPO）是錯的!

關於資料保護長（Data Protection Officer，DPO), 法條是:
https://gdpr-info.eu/art-37-gdpr/

而設置的強制條件是:
http://ec.europa.eu/newsroom/document.cfm?doc_id=44100
Article 37(1) of the GDPR requires the designation of a DPO in three specific cases:
a) where the processing is carried out by a public authority or body;
b) where the core activities of the controller or the processor consist of processing operations, which require regular and systematic monitoring of data subjects on a large scale; or
c) where the core activities of the controller or the processor consist of processing on a large scale of special categories of data or personal data relating to criminal convictions and offences.

意思是:
您的企業必須是大型公共主體或處理大量個資, 而這些個資只限定"歐洲全員國和脫歐後的英國"的人民.

對於台灣的企業, 不會有符合的.

關於GDPR, 基本觀念是, 原本企業對個資的處理是Opt-Out, 擇出, 改為Opt-in, 擇入.　意思是個人只能選擇退出(Opt-In)企業處理個資的系統, 改為個人依法有權選擇進入(opt-in)企業的個資處理系統來編輯, 檢視, 匯出, 與移除個人個資. 因此, 有三大要求:

明確的同意: 個人必須給予蒐集他們資訊的網站明確同意. 這同意不能被涵蓋在落落長的條款與條件(Terms and conditions)中, 而是必須是一個對個人單獨且非常清楚的個資蒐集條文.
Explicit Consent: users need to give explicit consent for the website to collect their information. This consent cannot be masked in a lengthy 'Terms and conditions' text, but needs to be separate and very clear to the user.
存取所納入的資訊: 您必須允許個人檢視其被您網站所蒐集的資訊.
Access to the offered information: you need to allow users to view the information collected from them on your site.
移除資訊的選項: 您必須提供個人一個簡易的方法自您的網站廢棄其同意並移除他們的資訊.
Option to remove the information: you will need to offer users an easy way to withdraw their consent and remove their information from your site.

個人資訊包含: 網站跟蹤器(cookie), 網站紀錄(log), 和個人資料(personal data).　因此, 有幾個重點:

網站管理: 網站跟蹤器與網站紀錄中不能有可以判斷出個人資料的資訊.
資料蒐集表單: 必須清楚, 簡易, 明確, 多語言提供個人資料蒐集的方式與條款並請求明確同意.
個資管理界面: 必須提供清楚, 簡易, 明確, 多語言的個資管理界面,　提供個人廢棄同意和編輯, 匯出, 與移除個人資訊的功能.
4.個資管理與個資資安事件處理: 第四章https://gdpr-info.eu/chapter-4/ 規定, 資料管控者和資料處理者, 權責必須清楚, 不能兼職與越權.

本文不能涵蓋所有條文, 請研讀本文中所列出的條文與規範.