歐盟去年通過歐盟資料保護法,從今年五月廿五日起將實施史上最嚴格的個人資料保護規則(GDPR)。跟台灣的個資法相較,GDPR管得更寬更廣,在歐盟設有據點的企業,應儘速檢視內部個資處理流程,降低因個資不當處理所引發的鉅額裁罰風險。
普華商務法律事務所主持律師蔡朝安表示,歐盟雖然訂出史上最嚴的GDPR,但也保留空間給各會員國,讓各會員國能夠制訂更嚴格的規定,規範落入各國政府管轄的個人資料收取及處理等活動。
蔡朝安指出,原則上任何持有或控制以及任何實際處理歐盟個人資料的個人或法人,均會受到GDPR的效力影響。換句話說,縱使台灣企業在歐盟完全沒有實體營運,也必須確保公司內部在取得與處理歐盟居民個人資料的流程,符合GDPR的規定。
安侯法律事務所執行顧問、國際隱私專業協會資訊隱私專家翁士傑表示,GDPR規定,企業若未遵循法規要求,主管機關得進行調查,最重更可裁處企業二千萬歐元,或該年度全球營業額百分之四的罰款,兩者取其高者。
根據新規定,翁士傑說,企業若要對員工、客戶、協力廠商等人員個資,或任何可識別特定當事人的資料進行搜集、使用、儲存、監控或傳輸等處理,皆被視為企業試圖侵入個人隱私,所以企業有義務對受影響的個人進行個資告知。
此外,歐盟GDPR更擴增個資的定義,舉凡生物特徵(例如指紋、臉部辨識、視網膜掃描)、線上辨識碼以及線上定位資料(例如Cookie、IP位置、行動裝置ID)等數位資料,均明文增列屬於個資的範疇,大幅擴張敏感性個資類型。
KPMG執行顧問孫欣分析,目前金融業所需遵循的各項認識你的客戶(KYC)法規或一般企業皆須遵守的勞動法規,在遵循法規同時其實企業是大量的在進行客戶或員工的個資處理,不可不慎。
