一般資料保護規則 (GDPR) 經過四年審議之後於 2016 年 4 月通過,目前已經實施。這項規範成為全球各地的熱門話題,其中採用更嚴格的資料保護標準,並訂定高額罰款,而最令人注意的是涵蓋範圍相當廣大。GDPR 對持有歐盟公民個人資料的任何組織造成影響,不論其規模或地點為何。位於亞洲地區的公司,以及分公司遍佈歐洲的跨國企業,只要收集及處理歐盟公民資料,就要負責遵循法規。
這項規範也描述受影響組織的資料保護義務,其中包括採用最先進的安全措施,乃至於讓使用者對自己的資料享有更多的存取及控制權利。由於需要全面變革才能遵循法規,歐盟主管機關提供兩年的時間,讓各會員國及組織有時間做好準備。現在過渡期已經結束,GDPR 正式實施。
現在會發生什麼事情?
實施法規代表組織應已依據 GDPR 處理個人資料,包括當事人權利條款在內。歐盟會員國的資料保護主管機關 (DPA) 也已能夠針對未遵循法規的組織開罰。視會員國而定,主管機關可採取立即行動因應任何未遵循法規事件。不過部分規範組織計畫以更溫和的態度,處理已經開始但尚未完成法規遵循工作的企業及組織。
最糟情況是什麼?組織要為未遵循法規造成的損害負責,並遭受對應的行政罰款。罰款最重高達 2 千萬歐元或 4% 年度營業額,以較高者為準。
最理想情況是什麼?若組織完全遵循 GDPR,或使用規範作為起始點超越最低標準,將享有重大優勢。其中部分效益包括:安全無虞的寶貴資訊、以適當的封存及資料管理提升營運效率,以及加強客戶及使用者的信任度。
雖然 GDPR 適用於歐盟公民的個人資料,但也引發全球各地變革隱私權規範。2018 年實施 GDPR 之後,有多個國家也加強本身國內法規,例如英國及澳洲在內的多個地區,也更新了本身的資料保護法。這代表 GDPR 法規遵循提供一項大好機會,不論是跨國企業還是小型組織,都能趁此跟上全球在資料隱私及先進安全技術方面的進展。
組織應如何應對?
在理想情況下,組織現在應已完成法規遵循的所有基礎工作,也應已完成法規遵循核對清單的所有項目。組織應能提供各項產品或服務,因應 GDPR 概述的客戶權利。使用第三方應用程式或供應商的組織應留意「被遺忘權」及更嚴格的使用者同意標準等議題的最新內容,確保能夠適當運作。多項法律及軟體變更也預期自即日起或未來幾個月內生效,組織應做好準備面對任何必要變更。
對於尚未完全遵循法規的組織,部分會員國 DPA 已再次保證,對於從事「善意行為」或正在進行法規遵循的公司,一開始處理時將會有所考量。記錄採取的各項步驟以及排定優先順序處理潛在的安全風險是關鍵所在。
不論是否做好準備,邁向 GDPR 法規遵循之路並不會在實施法規之日終止,之後還有例行的評估與稽核工作。
打造更理想的資料保護
GDPR 實施之後,為資料隱私及保護樹立全新標準。其中一項關鍵要素,就是從頭開始打造隱私權措施,而不是在之後發生問題時才加以補救。至於在實施日之後建立新產品及應用程式的組織,一定要記得隱私始於設計這項原則。
GDPR 透過各種新規定及標準,鼓勵組織重新思考現有的資料管理政策,並投資最先進的安全措施用於資料保護。再次提醒,GDPR 實施日之後的法規遵循工作應持續不變;掌握最新的網路安全發展是其中的重要項目。
我們製作資訊圖表,顯示個人資料受到妥善保護的途徑,其中涵蓋從當事人交出資料到組織進行安全處理的過程,此外也顯示發生錯誤或一切順利時的各種情況。
來源: On the Safe Side: Building Better Data Protection and Steering Clear of GDPR Violations
檢視資訊圖表:讓個人資料安全無虞的過程