原文 : http://money.cnn.com/2018/05/21/technology/gdpr-explained-europe-privacy/index.html?iid=EL
企業如何處理你個人資料正發生革命式變化.
一般資料保護法 (General Data Protection Regulation GDPR) 五月二十五日正式生效, 將引入更嚴格數據隱私的規定.
底下幾點是我們必須要知道的 :
這是甚麼 ?
GDPR 是歐盟新數據隱私法.
它能讓人們更好控制自己的個人數據, 強迫企業確定以安全的方式收集, 處理及儲存資料.
歐盟希望從根本改變企業對於資料的思考 -- 核心想法是 "預設是隱私".
誰會受影響 ?
握有或使用歐盟區人員資料的任何組織均須遵守新規定, 不論組織位於何處.
有些企業可能沒有和歐盟有直接往來關係, 但仍需遵守新規定 -- 例如, 他們支援的業務有客戶是位於歐盟區裡.
為企業提供服務的客戶服務中心而企業銷售對象是在歐洲, 或網頁瀏覽追蹤都會受到影響.
遵守法規的成本相當龐大. 國際隱私專業人員協會 (The International Association of Privacy Professionals) 及安永 (EY) 估計, 全球前五百大企業為新規定大約要花費七十八億美元.
我們需要做什麼 ?
你要處理你爆滿的信箱. 週五許多公司將會聯繫客戶, 要求客戶同意保留個人資料.
包含谷歌 (Google GOOGL), 臉書 (Facebook FB) 及推特 (Twitter TWTR) 數十家公司, 因新規定在最近幾周已經變更他們隱私設定. WhatsApp 已經把歐洲用戶最低年齡由十三歲改為十六歲.
你必須同意新政策並確認年齡才能繼續使用許多功能服務. 十六歲以下的孩童在大部分歐洲國家必須取得父母同意.
企業還可以繼續收集數據嗎 ?
可以. 但前提是他們必須能提出證明他們這麼做有 "合法基礎 (lawful basis)".
他們可以這麼做是因為他們有合約或法律義務允許他們可以這麼作.
他們可以簡單的獲得個人同意, 來儲存和處理個人資料. 這些要求必須清晰明白, 以通用易懂的語言寫成 -- 不能再隱藏於一般條款和條件中一起取得同意.
也可以是為執行符合共眾利益任務的而處理數據 -- 例如警方收集疑似犯罪資料.
或是收集個人資料是為了保護生命. 例如醫院可以收集無意識且有生命危害傷害病患個人詳細資料, 而不必取得同意.
企業必須如何作 ?
企業不得不更關注個人數據的安全, 而且不允許資料持有超過必要時間.
任何人都可以要求企業們從公司機器上刪除他們的個人資料. 只有少數是例外 -- 例如, 法律強制要求, 或是沒有這些資料無法提供服務的情況.
企業還被要求發現資料安全漏洞七十二個小時內, 必須通知主管機關 -- 這項規定可以減少企業發現漏洞到客戶被通知的巨大時間差.
他們還必須證明他們正在正確的處理資料. 這意味著要有更多監控和文件. 有些企業不得不招募資料保護人員.
為何會發生這件事 ?
GDPR 試著擴大並更新從一九九五年以來的規定, 同時把不同的法規變成統一的法律.
歐盟表示, 在嚴重網路攻擊和資料洩漏的現在, 新法律對於消費者的保護是必須的.
如果企業不遵守會如何 ?
他們會面臨龐大的罰款.
歐洲監管機關可以處罰企業全球營業額的百分之四, 對於大科技公司將會是數十億美元. 對於小公司罰款上限將會是兩千萬歐元 (兩千三百五十萬美元).
沒有留言:
張貼留言