GDPR來了!台灣四大類企業不可不慎

2018/02/24 10:01

記者蘇秀慧╱即時報導

理律法律事務所合夥人曾更瑩23日表示,歐盟個資法(GDPR)5月25日生效,台灣有四大類企業可能受到影響,企業不可不慎。值得注意的是,歐盟個資法的罰則高達2,000萬歐元或前一會計年度全球營業額的4%。

歐洲聯盟(EU)(聯合報系資料照片/路透)

曾更瑩指出,台灣「個人資料保護法」的行政罰最高法定額度是新台幣50萬元,可連續處罰,和歐盟個資法罰則相較,歐盟個資法的處罰強度大多了。

理律法律事務所23日主辦「台灣企業如何因應歐盟個資法研討會」,曾更瑩提出台灣有四大類企業可能受到GDPR的影響。

這四大類企業分別是:

一、在歐盟境內設有分公司、子公司或其他據點、分支機構的台灣企業。

二、雖未在歐盟境內設點,但因進行跨境商品或服務之交易而取得歐盟境內個人的資料,或對於歐盟境內之個人活動有所監測者。

三、為歐盟企業處理個人資料或提供有關服務如資料處理、雲端服務的台灣企業。

四、其他接受來自歐盟之個人資料之企業。

GDPR和台灣個資法有什麼差異?曾更瑩說,台灣個資法所謂的個資是以是否直接、間接識別個人為判斷標準,而GDPR則明確定義個資包含location data位置資訊、on-line identifier網路識別資料等。

至於敏感性個資,台灣個資法包含:病歷、醫療、健康檢查、基因、性生活、犯罪前科。曾更瑩說,GDPR包含:基因、性向、健康、種族、人種、政治意見、宗教或哲學信仰、參與工會。

有關蒐集個人資料的合法事由,曾更瑩強調,台灣個資法屬默示同意,GDPR必須為明示同意,且可為蒐集者的合法權益而蒐集個資,如車禍被撞,為了維護合法權益,在不影響肇事者的權益下,可蒐集肇事者的個資。

GDPR也特別要求設置三大機制,包含:要求企業設置個資保護長(DPO)、要求企業進行隱私影響評估、要求企業訂定有約束力的公司規則。

曾更瑩認為,GDPR可能對台灣個資法的衝擊是,可能引發外界討論台灣個資法是否該修正,要不要提高標準、更完備等討論,但她個人認為其實台灣個資法已夠嚴格,不見得一定要修法更嚴格,重點是該保護的個資是否已保護,且不影響正常使用。

更多新聞