一般資料保護規則 (GDPR) 經過四年審議之後於 2016 年 4 月通過,目前已經實施。這項規範成為全球各地的熱門話題,其中採用更嚴格的資料保護標準,並訂定高額罰款,而最令人注意的是涵蓋範圍相當廣大。GDPR 對持有歐盟公民個人資料的任何組織造成影響,不論其規模或地點為何。位於亞洲地區的公司,以及分公司遍佈歐洲的跨國企業,只要收集及處理歐盟公民資料,就要負責遵循法規。
這項規範也描述受影響組織的資料保護義務,其中包括採用最先進的安全措施,乃至於讓使用者對自己的資料享有更多的存取及控制權利。由於需要全面變革才能遵循法規,歐盟主管機關提供兩年的時間,讓各會員國及組織有時間做好準備。現在過渡期已經結束,GDPR 正式實施。
現在會發生什麼事情?
實施法規代表組織應已依據 GDPR 處理個人資料,包括當事人權利條款在內。歐盟會員國的資料保護主管機關 (DPA) 也已能夠針對未遵循法規的組織開罰。視會員國而定,主管機關可採取立即行動因應任何未遵循法規事件。不過部分規範組織計畫以更溫和的態度,處理已經開始但尚未完成法規遵循工作的企業及組織。
最糟情況是什麼?組織要為未遵循法規造成的損害負責,並遭受對應的行政罰款。罰款最重高達 2 千萬歐元或 4% 年度營業額,以較高者為準。
最理想情況是什麼?若組織完全遵循 GDPR,或使用規範作為起始點超越最低標準,將享有重大優勢。其中部分效益包括:安全無虞的寶貴資訊、以適當的封存及資料管理提升營運效率,以及加強客戶及使用者的信任度。
雖然 GDPR 適用於歐盟公民的個人資料,但也引發全球各地變革隱私權規範。2018 年實施 GDPR 之後,有多個國家也加強本身國內法規,例如英國及澳洲在內的多個地區,也更新了本身的資料保護法。這代表 GDPR 法規遵循提供一項大好機會,不論是跨國企業還是小型組織,都能趁此跟上全球在資料隱私及先進安全技術方面的進展。
組織應如何應對?
在理想情況下,組織現在應已完成法規遵循的所有基礎工作,也應已完成法規遵循核對清單的所有項目。組織應能提供各項產品或服務,因應 GDPR 概述的客戶權利。使用第三方應用程式或供應商的組織應留意「被遺忘權」及更嚴格的使用者同意標準等議題的最新內容,確保能夠適當運作。多項法律及軟體變更也預期自即日起或未來幾個月內生效,組織應做好準備面對任何必要變更。 繼續閱讀
