英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟

  英國作為歐洲金融重鎮,不論各行業均有蒐集、處理、利用歐盟會員國公民個人資料之可能,歐盟一般資料保護規則(General Data Protection Regulation,簡稱GDPR)作為歐盟資料保護之重要規則,英國企業初步應如何自我檢視組織內是否符合歐盟資料保護標準,英國資訊委員辦公室(Information Commissioner's Office, ICO)即扮演重要推手與協助角色。

  英國ICO於2017年4月發布企業自行檢視是否符合GDPR之12步驟(Preparing for the General Data Protection Regulation(GDPR)-12 steps to take now),可供了解GDPR的輪廓與思考未來應如何因應:

  1. 認知(Awareness):認知GDPR帶來的改變,與未來將發生的問題與風險。
  2. 盤點資料種類(Information you hold):盤點目前持有個人資料,了解資料來源與傳輸流向,保留處理資料的紀錄。
  3. 檢視外部隱私政策(Communicating privacy information):重新檢視當前公告外部隱私政策,並及時對GDPR的施行擬定因應計畫。
  4. 當事人權利(Individuals' rights):檢視資料處理流程,確保已涵蓋GDPR賦予當事人如:告知權、接近權、更正權、刪除權、製給複本權、停止處理權、不受自動決策影響等相關權利。
  5. 處理客戶取得資料請求(Subject access requests):GDPR規定不能因為客戶提出取得資料請求而向其收費;限期於1個月內回覆客戶的請求;可對明顯無理或過度的請求加以拒絕或收費;如拒絕客戶請求則限期於1個月內須向其說明理由與救濟途徑等。
  6. 處理個人資料須立於合法理由(Lawful basis for processing personal data):可利用文書記錄與更新隱私聲明說明處理個人資料之合法理由。
  7. 當事人同意(Consent):重新檢視初時如何查找、紀錄與管理取得個人資料的同意,思考流程是否需要做出任何改變,如無法符合GDPR規定之標準,則須重新取得當事人同意。
  8. 未成年人(Children)保護:思考是否需要制定年齡驗證措施;對於未成年人保護,考慮資料處理活動是否需取得其父母或監護人的同意。
  9. 資料外洩(Data breaches):有關資料外洩的偵測、報告與調查,確保已制定適當處理流程。
  10. 資料保護設計與影響評估(Data Protection by Design and Data Protection Impact Assessments):GDPR使資料保護設計與影響評估明文化。
  11. 資料保護專責人員(Data Protection Officers):須指定資料保護專責人員,並思考該專責人員於組織中的角色與定位。
  12. 跨境傳輸(International):如執行業務需跨越數個歐盟會員國境域,企業則須衡量資料監管機關為何。

相關連結
相關附件
你可能會想參加
※ 英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8019&no=55&tp=1 (最後瀏覽日:2026/06/05)
引註此篇文章
你可能還會想看
法國科學家現正積極研究奈米碳管的毒性評估方式

  法國國家研究會議﹙French National Research Council﹙CNRS﹚﹚的科學家,過去三年持續投入奈米碳管的毒性研究,包括奈米管在環境中所引起的污染反應、其對人體的危害,以及如何以較清潔的方式從事奈米碳管的生產製造。這個研究計畫將側重於目前常為產業利用的各式奈米管。   目前,奈米碳管在全球的製造量高達每年數百噸之譜。優越的機械及電子性能,促使奈米碳管被大量運用在平面螢幕及汽車產業當中,甚至利用在運動產品之上。然而,除了擴增的應用領域之外,其對人體健康及環境的影響迄今尚未受到重視。使用奈米管的物質通常被當做一般廢棄物來處理,就其對於環境的影響,人們更是一無所知。   法國CNRS的科學家希望能夠釐清這樣的問題。目前,研究人員的觀察重點將在奈米碳管如何影響水生環境﹙aquatic environments﹚,以及兩棲生物在奈米管流佈的環境中如何生存及反應。此外,科學家們同時觀察奈米材料如何影響人體健康:他們正在觀察及研究巨嗜球﹙macrophage cells﹚如何與奈米碳管互動,以及在這種暴露環境下,實驗用鼠的肺部是否會產生發炎症狀。經由初步的實驗,科學家們發現人體會將奈米管視為異物,進而引發發炎反應。   接下來,CNRS會進一步研究如何以更清潔且對環境友善的方式來製造奈米管。

基因資訊醫療運用與業務過失

德國科隆行政法院判決Google公司所提供之Gmail電子郵件服務為德國電信法「電信服務」定義下之規範對象

  德國科隆行政法院於2015年11月11日判決美商Google公司所提供之Gmail電子郵件服務為德國電信法「電信服務」定義下之規範對象,依據德國電信法第3條24之規定。因此,以該服務之提供者Google公司得依據德國電信法第6條第1項履行其「通報義務」。繼德國聯邦網路局(Bundesnetzagentur)於2012年7月透過正式通知美商Google Inc.需履行德國電信法第6條第1項之「通報義務」。   Google公司指出Gmail不是電信服務,因為Google本身所提供之服務目的不是在於電子信號的傳送。   德國聯邦網路局則指出,因為Google公司的伺服器,以專業術語來說,依據OSI模型(開放式系統互聯通訊參考模型,Open System Interconnection Reference Model, ISO/IEC 7498-1)定義,係有信號傳送服務提供的事實。Google透過獨特的傳送技術傳送數據信號,且針對其所傳輸的有所管控能力。此外,亦應更宏觀的來以電信法立法的宗旨與角度去審視是否此服務應受規範。德國聯邦網路局並不企圖於規範網路世界的一切。但是,像是Gmail或其他OTT服務業者應需要如同傳統電信服務業者般的,重視並履行其資料保護(Datenschutz)、消費者保護(Kundenschutz)、資訊安全(Sicherheit)上的義務。   德國聯邦科隆行政法院判決支持德國聯邦網路局的見解,Google公司因其所提供之Gmail服務應履行德國電信法之通報義務。在定義上是否電信服務,並不是完全以技術面去做認知,更為重要的在於電信法的立法價值初衷。德國聯邦科隆法院已准許透過飛躍上訴(Sprungrevision)的方式將該案送於德國聯邦最高行政法院(Bundesverwaltungsgericht),此案將可能有最高行政法院的判決。若Gmail被認定為係屬「電信服務」,此判決將會針對全德國的OTT服務規範有所影響,需被德國聯邦網路局所監管。

歐盟針對數位革命之法制障礙展開討論

  歐盟布魯塞爾會議規劃組織(QED)在2016年12月針對第四次工業革命法制議題提出討論,呼應2016年4月歐盟執委會提出之歐洲產業數位化政策,加速標準建立,並且預計調整現行法律規制,著重於資料所有權、責任、安全、防護方面等支規定,討論重點如下: 1.目前面臨之法律空缺為何 2.歐洲產業數位化是否須建立一般性法律框架 3.標準化流程是否由由公部門或私部門負責 4.相容性問題應如何達改善途徑 5.資料所有權部分之問題如何因應 6.數位化之巨量資料應如何儲存與應用,雲端是否為最終解決方式 7.如何建立適當安全防護機制。 8.一般資料保護規則是否足以規範機器產生之數據 9.各會員國對於資料保護立法不同,其間如何調合朝向資料自由發展之方向進行   我國2016年7月由行政院通過「智慧機械產業推動方案」,期待未來朝向「智慧機械」產業化以及產業「智慧機械化」之目標進行,未來,相關法制配套規範,如個人資料保護、巨量資料應用、以及標準化等議題,皆有待進一步探討之必要。

TOP