簡述
《通用資料保護條例》(GDPR) 簡述
《通用資料保護條例》(General Data Protection Regulation, GDPR) 是歐盟於 2016 年 4 月 27 日通過的法規,旨在保護自然人在個人資料處理方面的權利和自由,並確保此類資料在歐盟境內的自由流動。它取代了先前的 95/46/EC 指令,並旨在解決資料保護在歐盟內部實施碎片化、法律不確定性以及公眾對線上活動資料保護風險的普遍擔憂。
GDPR 的核心原則包括:
- 基本權利與透明度:個人資料的保護是一項基本權利。資料處理必須是合法、公平且透明的,個人應了解其資料被收集、使用和處理的程度。
- 目的限制與資料最小化:個人資料應為特定、明確和合法目的而收集,且不得以與這些目的不相容的方式進一步處理。所處理的資料應足夠、相關且限於必要,並盡可能假名化以降低風險。
- 儲存限制與準確性:個人資料的儲存時間不應超過其處理目的所需的時間,並應採取合理措施確保資料的準確性。
- 完整性與機密性:個人資料應以確保其適當安全和機密性的方式處理,包括防止未經授權的存取或使用。
- 問責制:資料控制者(Controller)有責任並能夠證明其處理活動符合本條例。
GDPR 的適用範圍:
- 個人資料定義:任何與已識別或可識別的自然人(資料主體)相關的資訊,例如姓名、識別號碼、位置資料、線上識別碼,或該自然人身體、生理、基因、心理、經濟、文化或社會身份的一個或多個特定因素。基因資料 和健康資料 被視為特殊類別的個人資料,需要更高程度的保護。
- 地理範圍:
- 在歐盟境內設有機構的控制者或處理者進行的個人資料處理活動,無論處理本身是否發生在歐盟境內。
- 未在歐盟境內設立機構的控制者或處理者,如果其處理活動涉及向歐盟境內的資料主體提供商品或服務(無論是否涉及支付),或監控其在歐盟境內的行為,則GDPR也適用。
資料主體的權利:
GDPR 大幅強化了資料主體的權利,包括:
- 知情權:了解其個人資料處理的存在及其目的,包括控制者的身份、處理目的、資料接收者、資料儲存期限等。
- 存取權:有權取得其個人資料被處理的確認,並存取相關資料。
- 糾正權:要求糾正不準確的個人資料。
- 被遺忘權(刪除權):在特定情況下,有權要求刪除其個人資料,例如資料不再必要、撤回同意、資料被非法處理等。當控制者公開了個人資料並有刪除義務時,應採取合理步驟通知其他處理這些資料的控制者刪除所有連結或副本。
- 限制處理權:在特定情況下,有權要求限制其個人資料的處理。
- 資料可攜權:有權以結構化、常用、機器可讀的格式接收其提供給控制者的個人資料,並有權將這些資料傳輸給另一控制者,前提是處理是基於同意或契約且以自動化方式進行。
- 反對權:有權基於其特定情況反對處理其個人資料,特別是針對直接行銷目的的處理,包括分析。
- 不受自動化決策約束的權利:有權不受僅基於自動化處理(包括分析)且對其產生法律效力或類似重大影響的決策的約束。
控制者和處理者的義務:
- 資料保護設計與預設:應實施適當的技術和組織措施,確保資料保護原則從設計之初就被納入,並預設只處理每個特定目的所必需的個人資料量。
- 資料保護影響評估 (DPIA):對於可能產生高風險的處理活動(例如使用新技術、大規模分析、處理特殊類別資料等),控制者應進行影響評估。
- 事前諮詢:如果資料保護影響評估表明處理存在無法透過適當措施緩解的高風險,控制者應在處理前諮詢監督機關。
- 資料保護長 (DPO):某些組織(例如公共機構、核心活動涉及大規模系統性監控或處理大量特殊類別資料的企業)必須指定資料保護長,負責監督內部合規性,並作為資料主體和監督機關的聯絡點。
- 資料洩露通知:在個人資料洩露可能導致自然人權利和自由面臨風險的情況下,控制者應在知悉後 72 小時內通知監督機關,如果可能導致高風險,則應不延遲地通知資料主體。
- 與處理者的關係:控制者應僅使用能提供足夠保證的處理者,並透過契約或法律行為規範處理者的義務,包括處理主題、持續時間、性質、目的等。
- 國際資料傳輸:向第三國或國際組織傳輸個人資料必須確保保護水平不被削弱。這可以透過適足性決定、適當保障措施(如具約束力企業規則 (BCRs) 或標準契約條款 (SCCs)),或在特定情況下的豁免條款實現。
監督機關與罰則:
- 獨立監督機關:每個會員國都設有一個或多個獨立的公共機構,負責監督 GDPR 的應用,並保護資料主體的權利。他們有調查、糾正、授權和諮詢等權力。
- 司法救濟與賠償:資料主體有權向監督機關投訴,並有權獲得有效司法救濟和損害賠償。
- 行政罰款:GDPR 規定了嚴格的行政罰款,對於嚴重違規行為,最高可達 2000 萬歐元或企業前一財政年度全球年營業額的 4%(以較高者為準)。