觀光客
👥+2
電腦教學
隱藏選單
回應(1)
通報違規

 歐盟GDPR法規

welzlin
本文:2023-10-20T18:26:46
GDPR 全名為「General Data Protection Regulation」(一般資料保護規定),類似於台灣的個資法;雖然這項規定目前僅適用於歐盟,但其實你所在的公司也非常有可能需要受到 GDPR 的規範,原因可見下一段「誰需要遵守 GDPR」。

至於 GDPR 到底是什麼?簡單一句話說明,就是「歐盟公民享有資料刪除、更改、轉移的權利,且企業需保護用戶個資」,這項規定於 2016 年通過,並給予兩年的緩衝期,目前已經於 2018/5/25 正式上路。

這項法規是根據被遺忘權為基礎發展的,使用者可以要求擁有資料的一方,刪除所有個人資料的連結、副本、複製品、可攜帶權等等;也就是說,你可以要求 Google、Apple 等科技巨頭完全刪除你的資料,或是把資料轉移到其他服務上。

但除了網路服務以外,需要受到 GDPR 規範的企業還有很多。


誰需要遵守 GDPR?

(圖片來源:微軟)

但只要符合下列條件,就必須適用 GDPR:

客戶有歐盟公民
雇用歐盟公民員工
與歐盟供應商合作
不只企業、非營利組織與政府也適用



也就是說,如果你的公司或網站有來自歐盟的用戶、有歐盟的分公司,或是與歐盟所在的公司有商業往來,基本上就要適用於 GDPR;以網路無遠佛屆的特性,基本上任何國際網站都必須要適用這項規定,這也是為什麼 Google、Facebook、Dropbox、Airbnb 等網站最近狂發信的原因了。

但這項規定也不局限於網路,就算是餐廳、航空公司、銀行、計程車,只要握有歐盟客戶的任何資料,像是姓名、住址、電話、信用卡等等,就必須受到 GDPR 的規範,幾乎是包含了全部產業。

另外,由於歐盟向來是世界人權隱私保障的指標,因此也可預期 GDPR 的相關規定在不久後,也會適用於歐盟以外的其他國家。


GDPR 保護哪些個資?怎樣算違法?

GDPR 是什麼?

GDPR 保護的個資種類非常多,像是電話、地址、車牌、指紋、相片、郵件內容、問卷,甚至地理位置、社會認同等等。在數位領域,Cookie、IP、ID、社群網站活動紀錄也都包含其中。

至於怎樣是違反 GDPR,可以分為以下幾種:

保護不周:企業對民眾個資保護不周,被竊取、外洩。就算個資未外洩,只要防護不周就算違反。
脫離約定目的、缺乏正當性:像是把某活動搜集的個資,用於另一個無關的活動或機構使用。
未給予當事人應有權利:包括前面所述的「刪除」、「更正」、「轉移」等權利。

如果沒有妥善處理個資或是造成外洩,需要在 72 小時內通報給主管機關;而企業如果沒有執行個資保護風險評估、沒有保護機制、違法向第三國提供用戶個資等等,可罰以 2000 萬歐元(約台幣七億元)或全球營業額的 4% 罰鍰。

由於這項規定在 5/25 開始實行,因此若現在還不清楚自己的企業是否適用 GDPR 規範,或是現有機制是否會違反 GDPR,建議尋找相關機構或專業的顧問單位協助。

  👥+2  回應(1)  (DMCA Compliance - Abuse 投訴)
[目前是 舊回應在上方][變更為 新回應在上方]
頭腦硬硬的
1 F:2024-05-24T23:21:32
GE

[0.09] 🍌