GDPR規定,若有發生個資外洩事故,資料控管者在可行的情況下,於知悉後72小時內,將該事故通報予以主管監督機關知悉,除該個資外洩事故對於個資當事人不會產生權利與自由風險者,不在此限。若未能在72小時內通報者,應附有延遲之正當理由。
歐盟資料保護工作小組(Article 29 Data Protection Working Party,WP29)係基於每個歐盟會員國所指定之監督機構代表、歐盟主管監督機關代表及歐盟執委會代表所組成,為歐盟資料保護和隱私方面之獨立諮詢機構,自2016年起陸續發布並修正GDPR規範之相關指南。
本文將說明個資外洩事故通知義務、資料保護影響評估條款,以及資料保護官設置等三份指南,希冀能使我國企業對於GDPR資料控管者或處理者之法定義務能有更進一步地了解。
GDPR相關指南內容剖析
以下說明個資外洩事故通知義務、資料保護影響評估條款、資料保護專員設置等三份GDPR相關指南的內容。
個資外洩事故通知義務
在歐盟1995年資料保護指令中並未有具體規定資料控管者有個資外洩通知義務,但在過去這段期間,部分歐盟會員國內國法規中已有個資外洩通知義務之規範,大部分會員國沒有。因此,GDPR第33與34條中規範其通知義務對大部分歐盟會員國而言,此為新的規範。WP29在2017年10月釋出的個資外洩通知義務指南(Guidelines on Personal data breach notification under Regulation 2016/679)中則是確認這項新的規範,並對此做出說明。
GDPR第33.1條規定,若有發生個資外洩事故,資料控管者在可行的情況下,於知悉後72小時內,將該事故通報予以主管監督機關知悉,除該個資外洩事故對於個資當事人不會產生權利與自由風險者,不在此限。若未能在72小時內通報者,應附有延遲之正當理由。WP29進一步解釋所謂的「知悉」係指若發生個資外洩事故時,資料控管者應具有某種合理程度確定已有事故發生。
而在第33.2條規定,資料處理者在事故發生時,應立即通知資料控管者,在GDPR中未有一明確的時間限制,WP29認為資料處理者立即通知且應協助資料控管者可於知悉後72小時內通報主管監督機關,若資料控管者授權予資料處理者可代表其發出通知,此可規範在資料控管者與資料處理者之間的合約中,若有規範者,資料處理者仍須遵循GDPR第33及34條的規定通報之。然而,仍要注意的是,資料控管者仍負有該通報法定義務之責(圖1)。
|
▲圖1 通報流程圖。 |
GDPR第34條規定,若個資外洩事故可能導致個資當事人自由與權利之高度風險者,則必須要通知當事人,通知內容必須與一般訊息內容如廣告信等分開,使其訊息有效地傳達給當事人知悉。GDPR僅規定「盡快」通知當事人,但未有明確之時間限制。
資料保護影響評估條款
依據GDPR第35條,若有大規模且系統性地散佈或處理特種個資,在可能存在侵害個人權利及自由的風險下,必須事前進行資料保護影響評估(Data Protection Impact Assessments,DPIA)。此外,依據GDPR第35.7條,DPIA應包括系統性的運作過程及目的描述,包括資料控管者所追求的合法利益(Legitimate Interest)、評估運作過程工作項目的必要性及符合程度、個資主體權利及自由之風險評估等,為確保可遵守該風險評估規範,必須要有為解決該風險所採取之防範措施,包括保障措施、安全措施與機制等,且須考量到個資當事人及其他相關人員之權利與合法利益,以確保可保護個資,DPIA必須視風險變化情形做調整。
WP29於2017年5月之際,已完成資料保護影響評估指南(Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679)之公眾意見徵詢,並於10月時釋出最新修正版本,該修正版本內容指出如何執行DPIA。
依據GDPR第35.1和35.10條,以及立法說明(recitals)第90和93條,所謂的DPIA應在任一操作個人資料的步驟前(prior to the processing,GDPR中所定義之processing係指對於個人資料所進行之任何或一系列的操作,如蒐集、處理、利用等),由資料控管者徵詢資料保護專員(Data Protection Officer,DPO)之意見執行DPIA。
就GDPR觀之,DPIA為一管理資料主體風險之工具,因此WP29鼓勵企業應針對企業內部實際操作情形制定專屬於該企業之DPIA框架,意指企業係依據個資當事人權利與受侵害之可能性與嚴重性,以及客觀情狀等來加以判斷其個資蒐集、處理、利用等是否有涉及高風險狀態。若風險有發生變化時,資料控管者亦應評估是否要循著DPIA來執行處理。
資料保護專員設置
GDPR第4節為資料保護專員(Data Protection Officer,DPO)章節,第37.1條規範歐盟會員國進行數據蒐集、處理或控管之公務機關(public authority or body)(不包含法院等司法機關)、從事定期且系統性監控活動(regular and systematic monitoring of data subjects on a large scales),或使用及處理大量特種個資(processing on a large scale of special categories of data)等,則前述機關及從事前述活動之受委託方,須設立一具有個資法專業知識及實務經驗,以及可執行GDPR第39條規範能力之資料保護專員。
依據WP29於2017年4月所釋出之資料保護專員指南(Guidelines on Data Protection Officers),提及於各會員國所制定之法律將可能要求在其他情形下指定資料保護專員,或是企業自願指定一資料保護專員之情形,均為WP29所鼓勵且樂見的。
此外,GDPR中未定義何謂「大規模」(Large Scale),WP29在就此提出建議,認為所謂大規模蒐集、處理、利用等應考量相關資料主體之數量(無論是具體數量或相關比例等)、正在蒐集、處理、利用等之資料量與範圍、期間及地理區域等,如醫院在正常業務過程中處理病患資料、為統計目的利用客戶數據、藉由電話或網路服務提供商處理資料等,若為個人蒐集、處理、利用等,如個人醫生處理病患資料,則非為所謂的大規模。
依據GDPR第37.5條,資料保護專員應具有可執行第39條所規範任務之能力,WP29針對資料保護官應具備的相關技能及專業知識,進一步解釋包括對GDPR之深入了解,包括國家與資料保護相關之法律與實務執行方面等、了解蒐集、處理、利用等執行程序、對於資料安全、企業組織之了解,以及具有在企業內部可推廣資料保護觀念之能力。
GDPR第39.1條c款規範資料保護官可針對DPIA提出建議,WP29在指南中提到資料控管者或處理者可就DPIA相關問題尋求資料保護官之建議,如是否需要執行DPIA、執行DPIA之方式、應採取何種保護措施來因應並減少資料主體的風險等。
因此,資料保護專員並非僅擔任法遵人員之角色,甚至是個資保護與管理的主導者,其責任義務為確認企業做法應符合GDPR的法遵政策及其法遵責任、進行人員教育訓練、資料保護影響評估建議等。
小結
我國個資法第12條規定,「公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。」又,個資法施行細則第22條第2項規定「本法第十二條所稱適當方式通知,指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之。」
第2項規定「依本法第十二條規定通知當事人,其內容應包括個人資料被侵害之事實及已採取之因應措施。」,與GDPR個資外洩通報義務相比較,GDPR規定係以先行評估個資外洩之風險,若為個人一般風險,則須在知悉後72小時內通報主管監督機關,若為個人高度風險,則除了要通報主管機關外,還需要通知資料當事人。但相同之處為均要讓當事人明確且有效地知悉。
另外,資料保護影響評估(DPIA)條款主要係預防個資外洩事故發生所先行做的風險評估工具,使企業得以評估該資料係要以轉嫁、避免、接受、控制等方式降低風險,各企業可自行採取不同形式,而GDPR亦列出資料保護影響評估之基本要求,其影響評估為資料控管者遵循GDPR之基本責任,且應考量到資料不同的風險程度,應採取適當措施。而資料保護專員設置為本次GDPR修法重點之一,若違反該項規定者,將處以罰款上限是1,000萬歐元或前一財務年度全球營業額的2%(兩者以最大值為主),足以顯示出歐盟對此之重視。
<資訊工業策進會科技法律研究所(資策會科法所)為國內首屈一指之科技及產業政策法制智庫,研究領域包含科技研發、科技專案、生物科技、個人資料保護、資通訊、資訊安全、文化創意及智慧財產權等法制議題,詳細資訊可參閱官網https://stli.iii.org.tw/。
本文作者為陳韻竹,現為資策會科法所法律研究員,目前專注在個人資料保護與管理、反托拉斯法、資安法制以及國際經貿法制等議題。>