一、歐盟GDPR的厲害
歐盟GDPR是「通用數據保護規範(General Data Protection Regulation)」的簡寫,為個資保護樹立了超高標準的規範。企業萬一有所違反,其罰鍰數額僅能以天文數字來形容(2億歐元或企業前一會計年度全球年營業額總額的4 %,二者取其高者)。多數企業認為,還好我們是台灣公司,GDPR管得再嚴也不干我們的事吧!這篇短文就來談談,GDPR真的不干咱們的事嗎?
二、對於在歐盟常設有營業處所之公司
依據GDPR第三條,任何資料控制者或處理者在歐盟境內所設立機構(包含子公司、分公司、或任何型態之營業處所)在其活動中對個人資料的處理(包含資料的蒐集、處理、儲存、利用、跨境傳輸等行為),無論該處理是否在歐盟境內進行,均受GDPR的規範(英文原文:”This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.”)。
準此,台灣企業如在歐盟境內常設有子公司、分公司、或任何型態之營業處所,且其營業活動涉及個人資料之蒐集、處理、儲存、利用、或跨境傳輸,就必須遵守GPDR的規範。例如公司在德國設立經銷處,蒐集企業客戶或潛在客戶採購人員的姓名與聯絡方式以便寄送報價單,或在荷蘭開設維修中心,跟送修的個人客戶留下聯絡方式以通知維修後取件,都須符合GDPR的各項規定。
三、對於在歐盟未設有營業處所之公司
在歐盟常設有營業處所之公司必須受GDPR規範,這很好理解。至於未在歐盟常設有營業處所之公司,應該就不用擔心GDPR了吧?讓我們接著看下去。
GDPR第三條接著說:「本規範適用於非設於歐盟的控制者或處理者對身處歐盟的資料當事人的個人資料的處理,而該處理活動與以下方面有關:(a) 向在歐盟內的資料當事人提供商品或服務,不論是否要求資料當事人付款;(b)監控其發生在歐盟境內行為(英文原文:”This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: (a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or (b) the monitoring of their behaviour as far as their behaviour takes place within the Union.”)。
此條文之意旨是,縱使資料控制者或處理者未在歐盟設有營業處所,只要向在歐盟境內的資料當事人提供商品或服務並蒐集、處理、儲存、或運用其個人資料,便須受GDPR的規範。比如說,台灣企業在台開設電子商城讓歐盟人士可以進行跨國的電子商務交易,或在台以網路提供專利資訊檢索服務結果有歐盟人士越洋上線使用,或在台灣開民宿接受國際人士訂房,只要涉及歐盟用戶之個人資料的蒐集或利用(幾乎不可能避免,例如網頁使用cookie),就必須完全符合GDPR的規定。
四、 結語
在歐盟常設有營業處所之公司固然必須遵守GDPR,縱使公司未在歐盟設有營業處所,只要向在歐盟境內的資料當事人提供商品或服務並蒐集、處理、儲存、或運用其個人資料,仍須受到GDPR的規範。由此觀之,須留意GDPR管制之台灣企業恐不會比完全不用擔心GDPR的企業少,因此了解GDPR規範並預作合規作業,便成為企業重要的課題。
後續本部落格會以上百篇文章,用企業人士看得懂的文字,來深入淺出地介紹GDPR,有興趣的朋有請持續關注喔。
作者:宋皇志,政治大學科技管理與智慧財產研究所教授,中華無形資產曁企業評價協會理事長
完成日期:2024年10月11日
有著作權,請勿侵權,惟歡迎註明出處引用
email: sung.hc@gmail.com
