為提升歐盟居民個人資料保護,歐盟於1995年制定了「歐盟個人資料保護指令(Directive 95/46/EC)」。但隨著科技發展日新月異及網路的蓬勃發展,1995年制定的保護規範已有所不足。為此,歐盟於2016年4月27日通過「一般資料保護規範(General Data Protection Regulation,簡稱GDPR)」取代前揭指令,以提升個資當事人權利,並強化個資專責機關權限。違反者,最高將面臨2千萬歐元(約新臺幣7億元)或全球營業額4%的罰鍰,堪稱史上最嚴格個資法保護規範。為降低GDPR對企業的衝擊,歐盟GDPR延至2018年5月25日始正式施行。
歐盟資料保護委員會(European Data Protection Board,簡稱EDPB)回顧過去一年GDPR實施情況指出,歐盟各國已累計超過28萬筆的違法舉報,其中超過14萬筆來自當事人的申訴(complaint),並有超過8萬9千筆來自管控者因資料遭侵害所為的通報(data breach notification)【註1】。專責機關開出的罰單自執法9個多月來累計接近5600萬歐元【註2】。譬如德國聊天平台Knuddels.de因明文儲存密碼遭罰2萬歐元【註3】;葡萄牙某醫院因其工作人員可使用假帳戶存取患者病歷遭罰40萬歐元【註4】;而目前最大一筆裁罰,則是法國認為 Google對用戶的資訊透明度不足以及廣告服務並未取得用戶同意,祭出了5,000萬歐元罰款【註5】。
由上述裁罰情況可知,歐盟各國認真執行GDPR的決心與重視。因此,提醒我國欲在歐盟成員國進行貿易的企業,應儘速檢視自身蒐集、處理、利用個人資料時是否符合GDPR的規範,提早修正企業處理個資流程、更新隱私權聲明、加強資安維護、選擇遵守GDPR的規範的外部廠商合作,以降低法律風險。
如國內企業有意遵循歐盟GDPR規範,卻苦無對策者,亦可來信諮詢本所李明勳律師。
資料來源:
【註1】https://edpb.europa.eu/news/news/2019/1-year-gdpr-taking-stock_en
【註2】https://edpb.europa.eu/news/news/2019/edpb-libe-report-implementation-gdpr_en
【註4】https://iapp.org/news/a/first-gdpr-fine-in-portugal-issued-against-hospital-for-three-violations/