原則上,在EEA設有據點之組織(包含企業、官方機關、非營利團體),據點包括母公司、子公司、分公司及派駐有業務人員之事務所,均適用歐盟一般資料保護規則。如果公司有蒐集、處理或利用歐洲經濟區(the European Economic Area, EEA)境內民眾個資之情形,我國企業作為資料控管者,或甚至委外予資料處理者,仍屬GDPR的適用範圍。
歐盟一般資料保護規則(General Data Protection Regulation,GDPR),或稱歐盟個人資料保護規則,將於2018年5月25日正式生效。對於企業主或IT從業人員來說,究竟對實際企業營運造成哪些影響?
以下設想了兩個情境,請先思考下列問題:
1. 公司位於歐盟的分支機構要把資料傳回給台灣總部,或是其他的資料處理業者,會受到GDPR資料跨境傳輸之規範嗎?如果該資料處理業者並不在台灣,是否還適用GDPR?
2. 如果公司有蒐集、處理或利用歐洲經濟區(the European Economic Area, EEA)境內民眾個資之情形,是否基於屬地主義而優先適用我國個人資料保護法(以下簡稱個資法)?另,於此情形,歐盟如何對違反GDPR規範進行裁處?
在討論上述問題之前,須先瞭解兩個GDPR的名詞定義,一是資料控管者(Data Controller),其二是資料處理者(Data Processor)。所謂資料控管者,係指掌握個人資料,並決定處理個人資料之目的、條件與方法者,如蒐集、處理或利用個資之企業。而資料處理者則為依據資料控管者的指示而為實質處理資料者,如受委託之資料處理業者。
這裡所提到的「處理」,根據GDPR第4條定義,係指對個人資料或個人資料檔案執行任何操作或系列操作,不問是否透過自動化方式,例如收集、記錄、組織、結構化、儲存、改編或變更、檢索、查閱、使用、傳輸揭露、傳播或以其他方式使之得以調整或組合、限制、刪除或銷毀,故其意義已包含我國個資法之蒐集、處理或利用。
規範對象及適用範圍
依據GDPR第3條之規定,原則上,在EEA設有據點之組織(包含企業、官方機關、非營利團體),據點包括母公司、子公司、分公司及派駐有業務人員之事務所,均適用之。例外則是在境外之情況,屬於提供商品或服務給EEA之資料主體時(含實體銷售或網路銷售);或監控位於EEA的資料主體之行動時,也適用。
故對於情境1,我國企業無論在EEA境內是否設有子公司、分店、辦事處等據點者,倘有處理EEA境內居民之個人資料,且不論資料處理是否於EEA境內進行,均適用GDPR規範。又,倘國內母公司欲透過在歐盟分支機構將蒐集之EEA境內民眾個人資料,傳回我國,或要把資料傳輸到其他資料處理業者(無論是否位於台灣境內),此時我國企業作為資料控管者,或甚至委外予資料處理者,仍屬GDPR的適用範圍。
GDPR對個人資料跨境傳輸之規範
由於企業主或IT從業人員來說,因具相當價值,重視所擁有資料的跨境傳輸。依我國個資法規定,國際傳輸原則是可以的,故由我國傳至歐盟尚不是大問題。但依GDPR相關規範,如涉及EEA境內民眾個人資料之跨境傳輸係原則禁止,例外始得為之。故除應符合第40條基本原則外,須在以下四種類型之一始得為合法的傳輸:
類型一
經歐盟執委會評估後決定資料傳輸之目的地第三國之相關法律制度對個人資料有充分保護者
依據GDPR第44條及第45條相關規定,個人資料之移轉必須遵循GDPR規範,且若個人資料移轉至第三國時,僅於歐盟執委會決定該第三國、及其國內的領域或特定部門對個人資料有「充足保護」時,方得為之。
至於所謂充足保護之評估,包括但不限於:該國對法治、人權與基本自由之尊重,其國家安全相關立法、刑法、個資相關法令與安全措施相關法規;資料主體之權利與其行政與司法救濟等規範;是否有獨立監管機關,且該機關是否有效運作;該國是否因加入某些國際協定,而有其他關於個人資料保護之國際義務等(參見GDPR第45條)。
類型二
資料控管者或處理者提供適當保護措施,且資料主體之權利得為執行,並具備有效權利救濟者
所謂適當保護措施,包括符合有拘束力之企業守則(Binding Corporate Rules,BCR,或譯為共同拘束規則)、或歐盟執委會核准之標準資料保護條款等。其中,較可能為我國企業所適用係依據GDPR第47條之BCR規定。
|
▲GDPR即將於2018年5月25日正式生效,掌握適用規範與罰則才能確保合規。 |
BCR係指各事業團體或企業團體之成員在從事共同經濟活動時,將個人資料轉移到一個或多個EEA境外之第三方國家的資料控管者或處理者時,必須遵循之個人資料保護方針。換言之,若業者將EEA境內民眾個人資料跨境移轉至未經歐盟評估為得提供充分保護(即類型一)之國家時,BCR得作為充分保護個人資料之手段,而例外地得進行資料跨境傳輸。又,BCR係由各會員國個資主管機關(監管機關)進行確認。
類型三
符合SCC規範
早在GDPR施行前,歐盟已分別於2001/2004、2010年就資料控管者(EEA境內)對資料控管者(EEA境外),以及資料控管者(EEA境內)對資料處理者(EEA境外)發布標準契約條款(Standard Contractual Clauses,SCC)相關指令,規範資料跨境傳輸事宜。惟無論是資料控管者或資料處理者,在本年施行後,仍須依循GDPR規範,如第44至49條之規定。
類型四
當事人同意,惟仍須符合GDPR第13、14條之告知。至於資料控管者或資料處理者亦須符合第40條資料移轉之基本原則,及獲第42條監管機關之驗證等規定。
違反GDPR所可能產生之裁罰
至於大家關切的問題2,主要依據GDPR第83條之規定,違反GDPR規範有二大類態樣及可能裁罰如下:
如違反第39條規定(資料保護專員DPO),得處以1,000萬歐元之行政罰鍰;如為企業者,罰鍰額度可達前一會計年度全球年營業額之2%,並以較高者為準。至於更嚴重的違反情形,如違反第44至49條之規定(個資傳輸至第三國或國際組織),裁罰額度最高將可達2,000萬歐元之行政罰鍰,或達前一會計年度全球年營業額之4%。
另如前所述,我國企業在歐盟的分支機構蒐集個資後,把資料傳回給台灣的總部(同集團),或是其他資料處理公司,其個資處理之行為地仍在EEA境內,應適用GDPR規範,且與適用我國個資法之情形(如屬地主義或個資法第51條第2項)有異,我國企業主或IT從業人員應特別注意。
<資訊工業策進會科技法律研究所(資策會科法所)為國內首屈一指之科技及產業政策法制智庫,研究領域包含科技研發、科技專案、生物科技、個人資料保護、資通訊、資訊安全、文化創意及智慧財產權等法制議題,詳細資訊可參閱官網https://stli.iii.org.tw/。
本文作者為何念修律師,現為資策會科法所法律研究員,目前專注在個人資料保護與管理、資安法制以及解決企業國際營運法制風險等議題。>