GDPR影響席捲全球──關鍵變化與要求

歐盟重視人權，早於1995年便制定了個人資料保護指令（Data Protection Directive），但23年前網路服務不普及，到了現在，該指令顯得有些不足。與時並進，歐盟於2016年通過「一般資料保護規則」（General Data Protection Regulation, GDPR），以取代先前的法規。

為免大家出現應對問題，在實際執行之前，歐盟有兩年的緩衝期，訂在2018年5月25日正式執行。至今，GDPR已上馬半年，互聯網沒有地域限制，因此可以說，幾乎沒有人能夠不受GDPR影響。然而，大家對它的了解是否足夠呢？據律師分析，重點如下：

• 1.      歐洲資料保護法將會在全球範圍內適用：在歐盟成立的機構和位於歐盟境外但要處理歐盟內的個人資料或監察歐盟內個人的機構，均在必須遵守歐洲資料保護法。
• 
  
• 2.      嚴厲制裁不遵守規例的人／企業：違反規例的最高罰款額將大幅增加到企業全球營業額的4％，或每次侵權2000萬歐元，以較高者為準。
• 
  
• 3.      增設資料洩露通知義務：機構必須沒有不當拖延，在可行的情況下於72小時內把洩露事件向相關的歐洲資料保護機構通報。在有關個人面臨高風險的情況下，必須通知受影響的人，不得無故拖延。
• 
  
• 4.      關於私隱資料管治、安排及影響的新評估要求：機構需要任命一名專員來實施和監測GDPR的遵守情況，並要求機構籌劃個人資料處理程序，對更高風險的處理進行私隱影響評估。
• 
  
• 5.      要求實施經設計的私隱保護：企業必須採取積極主動的方法，確保在處理個人資料時，其適當的資料保護標準處於預設的水平，並必須確保第三方資料處理器實行符合GDPR的安全措施。服務提供商必須記錄其處理個案並事先獲得同意才能使用電子處理器，因此可能需要修改與當事方的合約以解決問題。
• 
  
• 6.      增設「被遺忘的權利」：個人有權將其個人資料從系統或網上內容中刪除(「被遺忘的權利」)、避免自動資料分析的權利(具法律效力)以及被給予或指定接收人以收取其個人資料的可接觸副本的權利(「資料的可轉移性權利」)。

在此等大前提下，企業必須額外投入資源，選擇可靠的管理軟件(ERP)來滿足GDPR的要求，處理資料及數據收集等事宜。