德國Avocado律師事務所對歐洲施行GDPR之白皮書重點摘錄

臺灣對於個人資料的保護主要以個人資料保護法來規範,而近來全球最為關注的則是歐洲議會及歐盟理事會於2016年4月27日所通過的《歐盟一般資料保護規範》(General Data Protection Regulation,GDPR),並已於2018年5月25日開始施行。

我國駐德國代表處經濟組表示,(德國)目前僅有少數公司能夠完全執行GDPR的規範,大多數公司是選擇先執行基於風險管理明顯可見之措施,譬如任命資料保護人員、網站上的隱私聲明、完成資料處理協議等。

依據我國駐德國代表處經濟組所提出德國Avocado律師事務所及CPC企業管理公司所提供的GDPR白皮書(White Paper EU General Data Protection Regulation – Situation in 2019),重點如下:

1.依據GDPR所明定新的個人資料保護義務,各公司不僅需要依法遵守,更應該在有必要時能具體證明其遵守GDPR的作為。但大多數的組織仍然在個人資料保護機制的建置階段。所以現在階段必須多加關注其他組織的建置經驗及相關風險的變化。

2.德國企業間的下階段建置重點在於:留存使用資料的活動紀錄、實施有組織的資料保護方案、進行資料保護影響評估的程序、在所有資訊系統設計資訊的刪除機制、實行有效且自動化的個人資料處理程序、在公司內部訂定違反個人資料保護的處置作法等。

3.GDPR的真正風險在於高額罰款。在2019年初,Google便於法國被開罰歐元5000萬元罰款,但德國主管機關的情況則是人手不足、忙於調查,目前僅有歐元8萬元的罰款案例發生。而其中,調查的部分最主要集中在資料隱私的侵害、GDPR的義務遵從、非法Email廣告的使用等。根據Allianz於2018年發布的報告顯示,肇因於網路事件的全球損害總額即達到5000億歐元,因此對任何企業而言均形成經營上的最大風險之一。

4.有鑑於GDPR的高風險,各企業均有必要持續性地推動GDPR的建置工作,包括有賴各企業的董事會的全力支持、願意付出相當地時間與耐性建置相關制度。企業也必須明瞭資料安全保護並非僅單純仰賴嚴格的技術立場,而是需要進行組織架構以及進行方式的調整改變,並且具永續性的解決方案是需要所有成員的參與、認知與行動。

5.各企業在面對GDPR主管機關時,請知曉主管機關也需要各企業間的相互配合與合作,包括各企業適度接受較低額的行政罰鍰,另外目前而言,主管機關的工作已經超過現有人員所能處理的工作量,但這樣的問題卻可以透過增加編制內人員即可快速解決。

6.對於一個成功的建置作法,首先需要進行一次資料保護的稽核行動,以審視企業現行制度中不合於GDPR之處,故包括現行架構、契約簽署與保管流程、IT制度、企業文化、員工相關因素等均應納入分析評估。其次則為設計並建置制度,譬如訂定每週的處理計畫,如此可以有效且有進展地推動相關機制的建置。長遠而言,資料保護機制的建置並不需要複雜,反而應該是能夠日復一日地有效施行,並透過團隊綜效共同處理,才是有價值的建置目標及方式。

TOP