2018年8月30日 星期四

歐盟通用資料保護規章(GDPR,EU General Data Protection Regulation)

筆記

今年4月就收到Google對blogger有關GDPR的訊息如下,內容是Google針對GDPR的策略,


歐盟資料保護法:
https://ec.europa.eu/info/law/law-topic/data-protection_en


GDPR(英文):https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:02016R0679-20160504&from=EN


管轄:


個資定義:


GDPR於5/25/2018實施(https://www.epo.org/news-issues/news/2018/20180525.html),這個史上最嚴格的個資保護法開始實施,歐盟還為它設置一個獨立的數據保護官(Data Protection Officer (DPO)),各國嚴陣以待。

對於專利系統而言,EPO是個有38個會員國的組織,而且是獨立於歐盟監管的國際組織,因此與GDPR沒有直接關聯,倒是所處理的資料是有歐洲或其他國際資料保護的約束。不過,基於強大的GDPR,EPO將更嚴格地保護發明人/申請人提供的資料。實務上,除了可能有配套措施或修法公佈外,現階段,GDPR並不會影響EPO的通常運作

簡單來說,GDPR保護的對象是「歐盟境內資料當事人(原則上是歐盟公民)」,約束的對象是「在歐盟提供服務的企業」,也就是,被保護的「歐盟境內資料當事人」到「歐盟境外」,仍有GDPR保護;反之,如果是對歐盟以外的客戶提供服務,該客戶進入歐盟並不受GDPR保護。

對於Google, Facebook這類需要收集使用者數據才能運行其商業機制的國際大公司而言,能做的措施就是:(1)使用條款中積極逐條與使用者確認隱私設定;(2)資料可攜(使用者隨時可取回/刪除原本同意使用的數據)。

因應的方式是簽署SCC合約,規範歐盟境內資料控制者將資料傳送到境外的行為;而BCR為提供跨歐盟境內境外公司的運作框架。(資料來源:iThome)

所謂個資,如:名字、生日、住家地址、電話號碼、電子郵件、(身份)識別碼、宗教信仰、犯罪資料、會員資料、性別、種族...等。

GDPR直接影響的對象是手握有個資的企業或組織,甚至是可以提供查詢「誰(如上述個資)」的資料庫,如專利資料庫,對於收集資料的對象要有必要的動作:(1)明確讓對方確認同意收集資料;(2)收集資料者需要且合法收集資料;(3)有保護資料的義務;(4)資料可攜(right to data portability),使用者可要求資料無痛轉移。

資料參考:
(Google) https://cloud.google.com/security/gdpr/
(IPWatchdog) https://www.ipwatchdog.com/2018/03/11/gdpr-what-will-happen-whois/id=94525/
https://www.bnext.com.tw/article/49966/the-data-transfer-project

iThome有關GDPR的資訊:
https://www.ithome.com.tw/news/124967

Ron

沒有留言: