英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟
英國作為歐洲金融重鎮,不論各行業均有蒐集、處理、利用歐盟會員國公民個人資料之可能,歐盟一般資料保護規則(General Data Protection Regulation,簡稱GDPR)作為歐盟資料保護之重要規則,英國企業初步應如何自我檢視組織內是否符合歐盟資料保護標準,英國資訊委員辦公室(Information Commissioner's Office, ICO)即扮演重要推手與協助角色。
英國ICO於2017年4月發布企業自行檢視是否符合GDPR之12步驟(Preparing for the General Data Protection Regulation(GDPR)-12 steps to take now),可供了解GDPR的輪廓與思考未來應如何因應:
- 認知(Awareness):認知GDPR帶來的改變,與未來將發生的問題與風險。
- 盤點資料種類(Information you hold):盤點目前持有個人資料,了解資料來源與傳輸流向,保留處理資料的紀錄。
- 檢視外部隱私政策(Communicating privacy information):重新檢視當前公告外部隱私政策,並及時對GDPR的施行擬定因應計畫。
- 當事人權利(Individuals' rights):檢視資料處理流程,確保已涵蓋GDPR賦予當事人如:告知權、接近權、更正權、刪除權、製給複本權、停止處理權、不受自動決策影響等相關權利。
- 處理客戶取得資料請求(Subject access requests):GDPR規定不能因為客戶提出取得資料請求而向其收費;限期於1個月內回覆客戶的請求;可對明顯無理或過度的請求加以拒絕或收費;如拒絕客戶請求則限期於1個月內須向其說明理由與救濟途徑等。
- 處理個人資料須立於合法理由(Lawful basis for processing personal data):可利用文書記錄與更新隱私聲明說明處理個人資料之合法理由。
- 當事人同意(Consent):重新檢視初時如何查找、紀錄與管理取得個人資料的同意,思考流程是否需要做出任何改變,如無法符合GDPR規定之標準,則須重新取得當事人同意。
- 未成年人(Children)保護:思考是否需要制定年齡驗證措施;對於未成年人保護,考慮資料處理活動是否需取得其父母或監護人的同意。
- 資料外洩(Data breaches):有關資料外洩的偵測、報告與調查,確保已制定適當處理流程。
- 資料保護設計與影響評估(Data Protection by Design and Data Protection Impact Assessments):GDPR使資料保護設計與影響評估明文化。
- 資料保護專責人員(Data Protection Officers):須指定資料保護專責人員,並思考該專責人員於組織中的角色與定位。
- 跨境傳輸(International):如執行業務需跨越數個歐盟會員國境域,企業則須衡量資料監管機關為何。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
陳靜怡
法律研究員 編譯整理
1. Preparing for the General Data Protection Regulation (GDPR) 12 steps to take now, ICO.ORG.UK, https://ico.org.uk/media/for-organisations/documents/1624219/preparing-for-the-gdpr-12-steps.pdf (last visited Dec 23,2017)
2. Guidance: what to expect and when, ICO.ORG.UK, https://ico.org.uk/about-the-ico/our-information/our-strategies-and-plans/guidance-what-to-expect-and-when/ (last visited Dec 20,2017)
眾所注目的美歐有關基改生物與產品管理之 WTO 仲裁決定於五月初出爐, WTO 爭端解決小組判定歐盟基改禁令違反 WTO 精神,在長達上千頁的仲裁決定書(決定書將於六月公開)中, WTO 爭端解決小組認可了由基改領域專家稍早於 2 月初所做出之暫時性決定( preliminary ruling )。 事實上,此一 WTO 決定並不會改變歐盟目前對於基改生物及產品之管理限制,蓋以美國為首的控方所爭執者,為歐盟自 1998 年以後停止對基改生物與產品進行審查之事實上禁令,然歐盟已在 2004 年 4 月通過新的基改生物及產品管理法規,重新開啟基改生物及產品之上市審查,以實質行動祛除了該等禁令。不過, WTO 爭端解決小組此一決定書仍可能使歐盟未來在作成有關基因改造生物與產品之管理政策時,更為重視其貿易對手的意見,以避免爭端發生。 此外,決定書中也指出,儘管歐盟基改生物與產品之管理新制已自 2004 年 4 月上路,但歐盟會員國中仍有多個國家,如奧地利、法國、德國、盧森堡及希臘,被認為延宕實施歐盟新制,雖然歐盟執委會本身已試圖促使這些國家儘速實施歐盟基改生物與產品之管理新制,但由於一些程序規定的漏洞,以致成效有限,歐盟在今年四月已提出數項解決此一問題之建議方案。 另外,類似綠色和平組織( Greenpeace )、地球之友( Friends of the Earth Europe, FoEE )之非政府組織則批評透過 WTO 解決基因改造生物與產品之管理爭端之妥適性。這些非政府組織認為, GMO 議題具有高度爭議並涉及複雜的科學及環境議題,訴諸 WTO 仲裁機制並不妥當,其認為在 WTO 架構下,此類爭議處理時之考量點係以貿易利益為主。可見 WTO 爭端解決小組的決定,短時間內恐仍無法平息歐盟多數消費者對基因改造生物與產品所抱持之反對態度。
企業監看員工網路活動法律爭議之防堵 日本政府決定採用共通編號制的三個方案,也會顧及消費稅的逆進性日本政府於6月29日召開關於賦予國民每一個人一個編號以便掌握每個人所得的「共通編號制度」的檢討會,會中決定將以利用於納稅與社會保障給付為軸心,朝引進制度推動的三種選擇方案。會中也討論到利用於減緩使低收入群負擔愈加沈重的消費稅的「逆進性」上。目前提出相關方案也有緩和參議院改選中有關增稅批評的目的。 從之後的1個月內會開始募集國民的意見後,到年底會將三種方案綜合為一案,以明年的一般國會會期中提出相關法案的方向推動。 有關共通編號制度,當然被指出會有個人資訊外洩與侵害隱私權的憂慮。菅直人首相在檢討會中提到「希望是立於國民本位制度上的來思考,也必須得到國民大眾的瞭解」。在檢討會中承認僅供稅務使用的A案、用於稅務與社會保障的B案及用於大範圍的行政領域上的C案,使用範圍各自不同的三種方案。 也出現希望所賦予的新編號能與目前正在使用中的「住民票號」能夠接軌的想法。利用編號制度正確掌握國民的所得情形,進而在增加消費稅之時,就有可能適切地對低收入群進行減稅與用現金補助。 消費稅是對包含生活必需品等大範圍的物品及服務課稅,所以愈是對將收入用於消費的比例龐大的低收入群會對增稅的負擔愈感沈重。 對減緩此一逆進性的有效制度,就是對有繳納的所得稅給予減稅,沒繳納所得稅的給予現金補助的「附給付的稅額扣減」。充分利用編號制度,將可補足反映所得所能退補的金額。
techUK和UK Finance共同呼籲英國脫歐後應速採取行動保護英國和歐盟的企業和消費者資料跨境傳輸隨著資料多元應用,大量個資可能被企業、組織等從銀行、線上零售業者傳輸到雲端、學術機構等,因此在跨境傳輸基礎上需要共同的監管制度,以利資料保護和隱私標準。英國科技產業協會(techUK)和英國金融協會(UK Finance)共同於2017年11月30日呼籲英國政府和歐盟應迅速採取行動,以利於繼續保護消費者和企業在英國退出歐盟(Brexit)後兩地跨境傳輸個資。 另外,在Dentons國際律師事務所提出關於歐盟與英國未來資料共享關係之聯合報告(No Interruptions: options for the future UK-EU data sharing relationship)中,techUK和UK Finance說明英國和歐盟雙方如何達成適當保護協議(adequacy agreement),英國政府亦於2017年8月發布個人資料交換和保護未來合作文件(The exchange and protection of personal data - a future partnership paper),將持續依一般資料保護規則(General Data Protection Regulation, GDPR)調整,而在過渡期間為企業提供監管確定性,而公司亦需重新考慮GDPR於2018年5月實施後相關替代機制,如企業自我約束規則(Binding Corporate Rules, BCRs)、標準契約條款(Standard Contractual Clauses, SCCs)等。由於英國2019年3月脫歐後,將不會直接適用GDPR,因此除非有新的安排,個資在歐盟傳輸仍可能受限,而需昂貴複雜替代機制,故仍應速採取行動: 歐盟和英國應速開始適當保護評估程序(adequacy assessment processes)。 為避免個資傳輸之「懸崖邊緣」(“cliff-edge”),應即為過渡期之安排。 英國應考慮實施其他措施,確保歐盟對英國資料保護框架之擔憂能獲解決,尤其是國家安全目的之資料處理。 英國應確保國際傳輸制度(包括美國在內),與歐盟具相同保護水準,且此作為歐盟適當保護評估的關鍵。