GDPR

歐盟隱私保護建置

歐盟訂立了歐洲隱私權法律一般資料保護規定(GENERAL DATA PROTECTION REGULATION,簡稱 GDPR)於 2018/5/25 生效,為個人資料的隱私權、安全性建立了一套新的全球標準,且適用於全球每一個組織。

何謂 GDPR?

由歐洲議會,歐洲理事會和歐盟委員會制定的個人信息保護框架。「歐盟一般數據保護條例」。歐盟一般數據保護條例(GDPR)取代了數據保護指令 95/46 / EC,旨在協調整個歐洲的數據隱私法律,保護和授權所有歐盟公民的數據隱私,並重塑整個地區的組織數據處理方式隱私。

GDPR 是三十年來數據保護法最大的一次變革,它更新了在 Facebook、LinkedIn 和雲端出現之前頒布的現行法律,並統一了所有 28 個歐盟成員國的數據保護法律。該條例享有治外法權,這意味著 GDPR 會影響所有訪問或處理歐盟居民個人數據的企業,不論企業位於何處以及數據的收集方式。

GDPR

誰受 GDPR 影響

您可以用這樣的角度「歐盟個資法」來認識 GDPR,從小吃店到跨國企業,只要您的公司會接觸到歐盟公民,擁有他們的個資,就適用 GDPR 規範:

有歐盟顧客

如餐廳、旅館、旅行社、計程車、電商購物平台等,擁有顧客的信用卡資料、會員資料

企業有歐盟員工或歐盟供應商

員工、供應商、協力廠商、合作夥伴,您可能擁有他們的保險資料、薪資紀錄、聯絡資訊等

非營利組織與政府機關

組織的志願工作者、會員、贊助者、捐款人、顧問…是歐盟公民,您擁有他們的聯絡資訊、稅捐資料等,就受 GDPR 規範

如果您這麼做就違反了 GDPR

  • 對歐盟公民個資保護不周,如資料外洩或遭到勒索軟體攻擊
  • 使用歐盟公民個資 ,脫離約定目的,或缺乏正當性
  • 未給予個資當事人應有的權利
  • 沒有採取足夠的安全技術保護個人資料,或未保存使用個資的歷史記錄

中國與臺灣的三種組織會受到 GDPR 影響

  • 公司在歐盟擁有子公司、分支機構、銷售辦事處和代表處
  • 公司從中國與台灣向歐盟提供貨物和服務
  • 受託處理來自歐盟(數據中心業務實體、雲端供應商等)的個人數據

如果您在歐盟設立分支機構或銷售辦事處並聘請當地員工為僱員,則需要採取措施根據 GDPR 保護員工的個人數據。 許多公司已根據 1995 年制定的歐盟數據保護指令開發了個人信息保護管理措施。因此在 2018 年實施 GDPR 之前,更嚴格函授是必要的。此外,即使您沒有海外基地,歐盟居民在從中國與臺灣網站購買商品時也會輸入名稱、電話號碼、信用卡號碼等,這點也必須滿足 GDPR 的規範。

GDPR

在 GDPR 下企業該如何因應?

GDPR 之所以造成許多討論,是因為將數位廣告生態圈會使用到的資料,如 Cookie、IP、裝置識別碼(包括 Android 的 Google 廣告ID (AAID) 、 iOS 裝置的廣告識別碼 (IDFA) 、Device Fingerprint 都算)、地理位置 ( GPS 座標,或用 IP 反推得知的地理區域 ) 等都被歸為歐盟公民的個人隱私資料。因此,為了滿足 GDPR 的規範,網站主必須告知並徵求網站訪客的同意。

內容準備:企業GDPR說明文本清晰明確

  • 企業內部的「服務協議」和「隱私條款」需要針對GDPR做相應調整,制定適合企業自身情況的規則說明文檔
  • 清晰明確表明企業將收集的數據、使用及用戶享有的許可或撤銷許可權益
  • 保證多語言版本,不可利用語言不同等,模糊規定而獲取用戶的許可

新用戶:表單入口明確權益告知

  • 在訂閱、註冊等全部數據採集入口設置明顯告知用戶窗口
  • 位置醒目、內容明確清晰
  • 不可存在自動勾選強制同意行為,獲得用戶主觀許可後才可使用

已有會員:用戶自主完成授權

  • 針對全部已有會員用戶發送申請許可郵件,未授權用戶三天後繼續發送,儘快獲取授權(郵件模板可直接選用後台模板)
  • 用戶點擊郵件內的"DO IT NOW"按鈕,跳轉到"GDPR"的授權鏈接
  • 不可存在自動勾選強制同意行為,獲得用戶主觀許可後才可使用

已有會員:允許隨時撤銷許可或修改授權

  • 針對一直未對是否授權做明確回應用戶,以及已許可用戶,在後期每封郵件推送中,均需設置明顯的撤銷許可標識
  • 允許用戶隨時取消授權行為
  • 允許用戶隨時修改個人訊息內容