怎樣會違反GDPR?保護的範圍包含哪些?
我們都希望自己的個資被企業合理使用,多數人的生活經驗中,都有接過行銷電話、簡訊、詐騙電話,為了避免個資被任意分享或販賣給第三方,GDPR保護的個資範圍包括:
個人身分、生物特徵: 例如電話號碼、地址、車牌、病歷資料、指紋、臉部辨識、視網膜掃描、相片、影片、電郵內容、問卷表單等,甚至社會認同、文化認同、地理位置等,只要是一個人所能產生出的任何資料,幾乎都被重新定義為個人資料並受到保護。
線上定位資料: 例如 Cookie、IP 位置、行動裝置 ID、社群網站活動紀錄等。
而企業如果對歐盟公民的個資保護不周,像是資料外洩、個資遭駭、非法存取、分享給無權利使用的第三方;或是將個資用於非雙方當初約定的目的,例如A活動蒐集的資料,用於另一個不相關的B活動;以及就算在個資為外洩的情況下,沒有採取足夠的安全技術保護個資、沒有給予當事人刪除或更正個資的權力,都違反GDPR規範。
違反GDPR,最高可罰7億台幣
一旦沒有妥善處理個資或個資外洩,需要在72小時內通報給資料保護主管機關(Data Protection Authority),如果沒有執行個資保護風險評估、沒有任命資料保護長、沒有即時通報、違法向第三國傳輸個資。
一旦違反以上狀況,會被處以2 千萬歐元(約新台幣7億元)或全球總營業額4% 的罰鍰。
60%的科技公司都還沒準備好
本周劍橋分析(Cambridge Analytica)濫用8700萬用戶個資事件,祖克伯赴歐洲出席聽證會,他在會議中表示,公司絕對會遵守將上路的GDPR 規範,為了符合這個精神,Facebook將推出「一鍵清除歷史資料按鈕」功能,允許用戶刪除所有儲存的cookie、瀏覽歷史。
但如果祖克伯說的是真的,那麼Facebook有可能是其中的少數,「只有極少數的公司,能在25日100 %準備好。」法律公司United Lex首席隱私官Jason Straight說:「許多公司特別是美國公司,絕對是搶著在最後一個月,希望一切都能準備好。」
因為根據一份研究機構Ponemon Institute,在今年四月針對1000家公司的調查指出,有半數的公司認為他們無法在期限內完成準備,綜觀整個產業來看,有60%的科技公司表示,他們準備不及。
台灣3大產業影響最深
GDPR之所以受到全球關注,是因為這不僅只是地域上的限制,凡是向歐盟人民提供產品、服務或監測歐盟境內公民網路行為的境外企業都算。
