張陳弘｜GDPR適用與否？——「誰」的「什麼行為」受到規範呢？

GDPR規範「誰」的行為？

規範「設立在歐盟境內」的資料管控者或蒐用者

所謂「設立於歐盟境內」的要求，乃以資料管控者是否透過穩定的安排，有效且確實地開展活動；至於「安排」的法律形式，無論是通過分支機構（分公司）或是具有法人資格的子公司，都不是判斷此點的決定性因素。

規範「設立於歐盟境外」之資料管控者或蒐用者之可能

• 基於提供商品或服務所需，針對歐盟境內之資料主體進行個資蒐用行為

• 基於「監控」歐盟境內自然人行為所需，對資料主體進行個資蒐用行為

• 進行個資蒐用行為的資料管控者雖非設立於歐盟境內，但所設立之處依據國際公法適用歐盟會員國法律，亦適用GDPR。[13]

與臺灣個人資料保護法規範「境外（域外）效力」之比較

中小型企業仍須適用GDPR

1. 個資蒐用行為並非企業營運之核心部分；
2. 企業活動並未對個人的自由、權利形成具體威脅（例如監控個人或蒐用敏感個資）：得減輕其所負擔之GDPR規範義務。例如，公司可以不用設置「個資保護長（Data Protection Officer, “DPO”)；[16]員工人數少於250人的公司不需要保存其個資蒐用活動的記錄，除非蒐用個資乃公司的日常運作、對個人的自由、權利構成威脅，或者涉及敏感個資或犯罪記錄。[17]

小結：舉例說明

GDPR規範「何種」行為

1. 全部或部分以「自動化方式」所為的個資蒐用行為；
2. 雖「非以自動化方式」所為的個資蒐用行為，但蒐用之目的乃為形成或意圖形成資料「檔案系統」的一部分。[18]

• 非屬歐盟法規範範圍內之個資蒐用活動；
• 歐盟會員國在開展屬於歐洲聯盟條約（Treaty on European Union , TEU）第5篇第2章範圍的活動時；
• 自然人因純粹的個人或家庭活動所為與職業或商業活動無關的個資蒐用行為；[19]
• 主管機關基於預防，調查，偵查或起訴刑事犯罪或執行刑事處罰（包括保護和防止對公共安全的威脅）之目的所為的個資蒐用行為。由於此類型的個資蒐用行為通常會對當事人自由與權利造成較大威脅，故此款排除GDPR適用規定，當然並非意指此類個資不應受保護，而只是因為此類個資蒐用行為之目的係為了保護特定的重大公益，因此對於蒐用行為的規範應另外量身訂作更符合規範需求的特別法。[20]

是否適用GDPR的假設案例說明：代結論

註腳