歐盟通用資料保護規則(GDPR)懶人包

台灣網路公司如果經營跨境電商,只要有流量來自歐盟國家的公民,就要遵守GDPR,
否則將開罰營業額的4%,罰款相當重。
GDPR保護的個資包括個人身分和生物特徵資料,例如電話號碼、地址、
指紋、臉部辨識、相片、影片、電子信箱等;也包括線上定位資料,例如IP位址、
行動裝置ID、cookie、社群網站活動紀錄等。外界將GDPR視為史上最嚴的資料保護令。
因此在著手了解GDPR之前,必須要先對於個人可識別資訊(Personally Identifiable 
Information,PII)有概念。全球逐漸將個資的內容,視為一個可以識別個人的相關資訊,
這也是未來在談論所有個資保護相關法規遵循時,必須要注意到的事。可以識別個人的資訊
,已經從過往單純的姓名、性別、電話號碼、住址、身分證字號或是社會安全號碼等,在GD
PR的規範中,更進一步擴展到可以直接或間接過濾出特定對象資料的資料類型,像是網路瀏
覽器中的Cookie、網路IP位址,或是包括其他足以識別特定個人身分或性別的基因、生物特
徵或醫療資料等,全部都在PII的規範之中。
因為PII定義的範圍和內容比以往更多也更複雜,這對於必須因應GDPR規範的企業和組織而言
,因應的困難度也隨之提升。下列已整理出重點

重點1 以資料為主體,2018年5月正式實施
重點2 企業必須設置資料保護長,且需負起法律責任
重點3 個資的蒐集、處理和利用,必須先徵求當事人的同意
重點4 強化個人資料可攜權權利
重點5 新增被遺忘權
重點6 外洩個資,必須在72小時內通報資料保護主管機關
重點7 個資保護系統預設要納入隱私保護
重點8 賦予當事人有權反對被自動化剖析(Profiling)權利
重點9 要求企業必須落實資料保護影響評估
重點10 提高罰則金額,甚至以全球營業額計算罰金金額
在台灣會受到GDPR影響的五大類廠商
第一類:在歐盟設點的企業
第二類:針對歐盟公民提供產品或服務的業者
第三類:監測歐盟公民網路行為的業者
第四類:針對歐盟公民提供產品或服務的營收占有顯著比例
第五類:基於合約或資訊鏈涉及歐盟公民個資

針對電子商務規範
數據收集:


廣泛的數據皆屬於 GDPR 規範下,以用於數據收集同意及保護。任何 個人或行為資訊皆屬於新法規內之定義,
這意味著除了銀行帳戶、地址等的個人資訊之外,像是IP、MAC地址 (裝置位置)、照片和社群網站上的貼文也
將受到 GDPR 規範中的約束。
對於 GDPR 的數據收集要求感到難以負荷之前,值得注意的是一個叫 “合法利益” 的概念
,允許控制者 (如網站) 在因提供服務時而收集對於用戶 (如客戶) 所同意提供的重要資訊,
比方說,收集姓名、地址及信用卡號碼是必要的,且用於驗證客戶身份及處理用戶自願輸入至合約中的付款資訊。
合法利益是與下方所概述的 “同意書” 是分開的。簡而言之,您不需要因此而推翻您原本的營運方式。
預先打勾且不清楚的 “選項” 將於5月25日後視為無效力的。

以下為提供用戶們一個是否加入以及加入後的定義已明確註明的良好例子,但是,
綁定不同行銷管道 (簡訊、電話、以及模糊的 “其他電子手段” ) 的行為已經違反 GDPR 之規定。

最後,控制者 (網站) 必須能夠提出用戶主動同意授權數據的記錄,對於不同的企業而言,在實踐方式上將會有
所差異,但請確保你已經準備好隨時提供相關信息。

系統中的Cookie:
歐盟已制定了與系統中的Cookie的相關法律,但若您位於歐盟以外的國家,且剛開始熟悉相關法律時時,
請注意Cookies皆需符合 GDPR 及現有法規。

收集有限的數據:
若您沒有要使用您向用戶們所收集的資訊,請停止要求用戶將其訊息提供給您。舉例來說,
有許多網路表單中包含 “公司” 欄位,且取得此資訊並非實際用於商業或市場行銷的目的,
所以該資訊其實是不被需要的,請仔細審查您的表單格式,看看是否可以移除不必要的欄位以降低您暴露在
GDPR 規範下的風險。

數據儲存:


GDPR 旨在確保歐盟公民的個人資訊不僅是自願提供的,並且該資訊是被安全儲存的。
在跨境電子商務世界中最棘手的規則之一是要求所有數據都儲存於歐盟中的伺服器內。
不論是雲端託管服務,或具有自行託管及服務的網站應對數據資訊的儲存進行相關審查,
以確保符合 GDPR 法規 (請參閱下方第三方數據處理)。

用戶數據:將它設為可取得、編輯及刪除的
GDPR 要求數據用戶們可聯繫數據處理者 (網站) 並要求他們的個人資料被:
可編輯的 – 您的網站必須提供一份合約或處理用戶數據更新或更改的要求
可取得的 – 當用戶要求時,您必須有辦法提供所有您針對用戶們儲存的資訊
(GDPR尚未提供具體的格式)
可刪除的 – 用戶擁有提出永久刪除他們的個人資訊的權利。作為依據 GDPR
歸法下所營運的企業,您需要提供一個公開的聯絡方式或機制以供用戶們申請
或執行刪除與他們的個人資訊有關之數據。
需注意的是您必須明確的告知用戶們他們擁有上述三點的權益,用以讓用戶們明白
他們有權撤銷、編輯或刪除數據。請注意,您有責任將用戶所提出的需求傳遞給擁
有該用戶資訊的第三方單位。

第三方數據處理者

大多數的大型託管解決方案及分析軟體公司應採取自己的方式來遵守 GDPR,
最常用的電子商務及行銷平台皆有自己關於其符合 GDPR 的陳述,請確實研究您使用
的特定服務以及思考您是否需要在每個應用程序中採取主動的措施。若您有任何無法
解答的問題,請務必直接與他們聯繫。例如:Google

資料出處:臺灣勤業眾信,iThome

喜歡這篇文章嗎?立即分享

你可能感興趣的文章