GDPR

歐盟數據合規說明

1. 歐盟個人資料保護立法概覽

歐盟於2016年頒布了《一般資料保護規範》（GDPR），並於2018年生效。 GDPR旨在保護所有在歐盟境內個人的隱私權與資料保護權。 GDPR適用於所有處理個人資料的企業和組織，無論其地理位置如何，只要其資料處理活動涉及歐盟公民的個人資料。

（一）相關定義

1. 資料控制者是能單獨或共同決定個人資料的處理目的和方式的自然人、法人、公共機構、行政機關或其他非法人組織，負責決定處理個人資料的目的和方式，不過具體標準應以歐盟或其成員國的法律予以規定。

2. 數位處理者指為資料控制者處理個人資料的自然人、法人、公共機構、行政機關或其他非法人組織。但是，有時難以確定某個實體到底屬於資料控制者還是處理者。

3.個人資料是指任何指向一個已識別或可識別的自然人（「資料主體」）的資訊。 GDPR 拓寬了個人資料的範圍。依照GDPR 界定的範圍，個人資料也包括數位指紋（例如IP 位址和Cookie）。除此之外，基因或生物辨識資料也包含在「敏感資料」的範疇之內。

4、GDPR 明確提到個人敏感資料應受到高度保護，這些資料包含：個人的種族和族裔出身、政治觀點、宗教和哲學信仰、工會成員、基因資料、生物識別資料、健康資料、性生活或性取向資訊以及犯罪記錄資訊。而醫療機構通常須滿足更高標準的資料保護要求。

1. 主要內容

（一）企業在實現GDPR合規時需要遵循以下幾個步驟：

（1）資料審計：對現有的資料處理活動進行審計，確保了解個人資料的來源、使用目的及儲存期限。

（2）隱私權政策更新：更新隱私權政策，確保其內容符合GDPR要求，並明確告知使用者其資料的處理方式。

（3）建立合規機制：建立資料保護管理體系，確保所有資料處理活動都遵循GDPR的原則。

（4）員工培訓：對員工進行GDPR及資料保護相關知識的培訓，並提高其合規意識。

監測與審查：定期監測資料處理活動，確保持續符合GDPR的要求。

2. 個人資料處理何時處理個人資料合法

依照GDPR 第6條的規定，處理個人資料須遵守以下六項法律依據：

（1）資料主體同意他或她的個人資料為一個或多個特定目而處理；

（2） 處理是為履行資料主體參與的合約之必要，亦或處理是因資料主體在簽訂合約前的請求而採取的措施；

（3）處理是為履行控制者所服從的法律義務之必要；

（4）處理是為了保護資料主體或另一個自然人的切身利益之必要；

（5）處理是為了執行公共利益領域的任務或行使控制者既定的公務職權之必要；

（6）處理是控制者或第三方為了追求合法利益的之必要，但此利益被要求保護個人資料的資料主體的利益或基本權利以及自由覆蓋的除外，尤其是資料主體為兒童的情形下。 （註：此項不適用於政府當局在履行其職責時所進行的處理）

事先取得同意是企業合法處理歐盟公民個人資料的最重要前提條件。例如，當面臨GDPR 的合規性時，Facebook 應設法取得同意，而非遵守資料最小化原則。

取得同意必須是可證實的，須與其它事項明確區分開來，且可撤回。值得注意的是，處理敏感資料須取得明確的同意。模糊或「一攬子同意」均視為無效。企業須向資料主體呈現簡單易懂的語言表述，供其選擇是否同意對方處理個人資料。有鑑於此，至少從理論上講，模糊不清、滿篇術語及長期性同意的請求將不復存在。

此外，沉默、預先勾選或不積極，均不構成有效的同意。當用戶需要勾選或透過電話同意時，這就屬於明確的選擇。

16歲以下的未成年人不具有合法的同意權，但歐盟成員國可以將此年齡限制放寬到13歲。

（二）個人資料跨境傳輸

1.歐盟內部轉移

在歐盟內部傳輸個人資料的情況下，GDPR不會對GDPR的直接適用性施加任何其他要求。但是，當控制器聘請處理器時，資料控制器與資料處理器之間的關係需要透過協議來控制，並且要遵守在這些情況下GDPR規定的最低標準。處理者與處理者之間的協議（GDPR第28條）規定了處理的主題和持續時間，處理的性質和目的，個人資料的類型和資料主體的類別以及控制者的義務和權利。

2.非歐盟資料傳輸：遵從GDPR的步驟

對於非歐盟資料傳輸，GDPR預見了可以進行此類傳輸的特定情況。尤其是，從事非歐盟個人資料傳輸的組織將需要驗證。

歐盟委員會是否有充分的決定，如果沒有，則透過合約協議提供額外的保證。

（1）歐盟委員會可以發布有關非歐盟國家/地區資料保護等級的決定（例如，歐盟-美國隱私權保護盾）。這些決定是基於對第三國是否具有與歐盟等同的適當資料保護法律保障的全面評估。充分性決定的結果是消除了從歐盟（以及挪威，列支敦士登和冰島）到該第三國的資料傳輸的任何障礙，而無需任何進一步的資料保護要求。

（2）轉移必須遵守適當的保障措施

如果第三國不屬於適當性決定的範圍，則歐盟組織應考慮以下替代方法之一：

1） 標準合約條款 。 歐盟委員會還可以採用標準合約條款，以方便歐盟控制者在將個人資料傳輸到非歐盟控制者或處理者時提供足夠的資料保護保護措施。到目前為止，歐盟委員會已經發布了兩套標準合約條款：資料從歐盟控制方轉移到非歐盟或EEA控制方，而歐盟控制方轉移到非歐盟或EEA處理方。資料保護機構也可以採用示範條款。但是，這些條款需要得到委員會的批准。最後但並非最不重要的一點是，跨境轉移也可以根據資料匯出者和資料導入者之間商定的臨時合約條款進行，這些條款必須得到主管DPA的批准。

**2）**具有約束力的公司規則（BCR） **。**如果將個人資料從一個公司實體轉移到另一個公司實體（不考慮地區），則資料的傳輸將根據具有約束力的公司規則（BRC）進行。具有約束力的公司規則是經主管監管機構批准的具有法律約束力的規則，該規則規範從事聯合經濟活動的企業集團或企業集團的成員及其僱員（包括位於歐盟以外的企業）內部的個人資料的傳輸和處理領土。與標準合約條款相比，BCR的優勢在於，一旦獲得了資料保護機構的批准，便可以在不考慮地區的情況下進行所有將來的集團內部轉移，而無需任何其他要求。

附加保障措施除了上述選擇之外，GDPR還為資料傳輸引入了兩種替代性充分性工具：核准的認證機制和核准的行為準則。兩種機制都允許資料傳輸，前提是資料導入者做出有約束力的和可強制執行的承諾，以為資料保護應用適當的保護措施。

（3） 資料傳輸豁免

在許多情況下，在沒有上述傳輸機制的情況下可以進行個人資料傳輸。這些情況有限，包括以下情況：

1）資料主體明確同意；

2）轉讓對於訂立或履行合約是必要的；

3）有公共利益的重要原因；

4）有必要建立，行使或捍衛法律主張；

5）對於資料主體或其他人的切身利益是必要的；

6）它涉及公共登記資料；

此外，GDPR對涉及數量有限的資料主體的非重複傳輸引入了新的限制，即減損。在沒有其他合法依據的情況下，當出於強制資料出口者的合法利益的目的而沒有被資料主體的合法利益以及出口者為轉移的資料提供足夠的保障的情況下允許轉移。在這種情況下，出口商必須將有關轉移的情況告知相關的資料保護局和資料主體。