詳盡探討 《一般資料保護規定》(GDPR)

一般資料保護規定

歐盟 (EU)會員國原本各自為政的個資處理法規，隨著《一般資料保護規定》即將上路，及其整併強化之立法目的，會員國全數一體適用新版規則，以建構歐盟一致保護框架。

目前 28 個會員國各自訂立個資法規，法之效力拓及國際貿易。不過正因如此，行使個資保護的權利更顯綁手綁腳、窒礙難行。

《一般資料保護規定》影響效力無遠弗屆，各種企業不管規模大小、產業類別，皆有所牽連。而不同業務如何遵守本規則、合理使用客戶個資，亦有不同因應處理方式。

2016年，歐洲議會、歐洲高峰會通過第 2016/679 號法案(GDPR)，將於 2018 年 5 月 25 日生效施行。新版規範保護自然人的個資，側重資料處理與自由流通。本文將協助各位了解何謂 GDPR、所應履行之職責、不可觸犯的層面。另外，我們也向您保證，Benchmark 郵件行銷工具嚴格遵循《一般資料保護規定》。

新版規則絕非取代歐盟會員國現有法令，而是同步整合各國個資法與 GDPR。會員國仍可依照國內相關規範做出判決，不過，要注意的是，責任方必須參照《一般資料保護規定》做為判決主要依據，而不是各國本身的個資法規。

若您目前符合所在國/地區的個資法令，那麼您已打下穩固基礎。不過，您仍需修正某些層面以便符合新版規則的規定。

規劃行銷郵件策略時，三大重點請謹記於心：用戶同意、查閱使用、個資蒐集。

用戶同意

根據《一般資料保護規定》第四條第11款，個資當事人所謂的「同意」指的是，透過任何無償提供的聲明、具體明確的同意行為，清楚表達當事人同意他人處理與他/她有關的個人資料；

如前述定義所言，用戶的同意需明確、清楚。這兩個詞消除了任何不確定或含糊不清的界線。

第32條：當事人以明確的肯定行為表達同意，透過任何無償提供的聲明、具體明確的同意行為，清楚表達當事人同意對方處理與他/她有關的個人資料，例如：書面聲明（電子方式或口頭陳述），包括瀏覽網站時勾選同意選項、為資訊社會服務（網路影音服務）進行技術設定、其他陳述或行為清楚地表明當事人接受他人對他/她的個資處理。

用戶未應答、不作為或事先替用戶勾好同意選項皆不可視為同意。所謂同意指的是同意他人以單一(多重)同等目的處理所有個人資料。當個資處理牽涉不同目的時，每一項都應取得當事人同意。若他人以電子方式向當事人提出同意請求，該請求必須清楚、簡潔、而且不會造成個資處理不必要的負面影響。

舉例：

我最近參加一場貿易展覽，因而在會展上蒐集了不少名片，我準備將這些名片鍵入資料庫並上傳到我的 Benchmark 帳戶，為的是發送電子報。

有了新版規範，我這樣做合法嗎？

答案是否定的。即便取得每個人的口頭確認，會展上拓展人脈不代表您有權使用他們的個資。 GDPR 要求取得雙方達成協議的證據。

GDPR 指出，萬一需要審查，責任方必須提出用戶清楚明確的同意聲明，也就是拿出證據證實用戶同意他人使用自己的個資。

建議改善作法：

⦁  審視您蒐集個資的方法，消除當中含糊不清的方式。

⦁  分析您的資料庫，只保留用戶同意您使用他們個資的證明。

查閱使用

處理個資的責任方需提供每位用戶簡單明瞭的處理管道，用來修改自己的個人資料；另需提供確認管道，讓用戶透過電子方式（例如：網站、訂閱表格、電郵確認）同意他人使用個資。

責任方將有一個月的時間取得用戶同意。若是複雜的請求（因為要完成用戶要求的必要步驟導致），可延長至兩個月。

在我們的電子郵件行銷工具中，「管理訂閱」選項允許用戶線上他們的個資，並在需要時進行修改或直接取消訂閱。

關於這點，《一般資料保護規定》第17條詳述新訂權利「刪除的權利」，用戶可行使「被遺忘權」，永久將其個資從資料庫中刪除。本文摘述該條文第一項第一款、第四款，提供用戶行使「被遺忘權」的原因：

a）個人資料蒐集、處理之特定目的消失，得向責任方請求刪除個人資料；

b）個人資料已遭非法濫用：;

個資蒐集：

《一般資料保護規定》主張簡化個資蒐集。身為行銷人員，我們要求太多非必要的個資細節，但其實只是為了寄送每週電子報。因此，GDPR 規定大家精簡蒐集用戶個資，而不是蒐集多餘資訊作為日後其他用途。

若您想通知用戶即將到來的促銷活動，蒐集用戶姓名和電郵地址便已綽綽有餘，足以達到您的目標。

英國脫歐

英國將於 2019 年正式退出歐盟，GDPR 無法對英國有所約束力。我們目前不知道英國或其境內的公司將如何處理個資保護，但我們相信英國將會通過類似法規，與歐盟的 GDPR 具有同等效力。

若不符合新版 GDPR 要求，會有何下場？

《一般資料保護規定》制定一套處罰條款，包括處分與罰鍰。未能遵守新的規則，經過一番審慎評估才會判處罰鍰，以下為判決要素：

⦁  違法的嚴重性/違法行為持續時間；

⦁  受害的用戶人數及受損程度；

⦁  故意侵權與否；

⦁  為減輕損害而採取的行動；

⦁  是否配合主管機關。

新版規定針對未遵守規則的責任方，制定兩類罰鍰上線。第一類為 1000 萬歐元以下的罰鍰，或是擔保上限等同全球年營業額的2％。

假設負責人不願按照新版規定的要求進行影響評估，則適用第一類罰鍰，罰鍰上限可高達 2000 萬歐元或是全球年營業額的 4％。

根據新版規定，一旦侵犯當事人的權利，將依每則個案情況，裁處不同罰鍰。

當您策劃郵件行銷策略時，請牢記上述要點（用戶同意、查閱使用、個資蒐集）。

Benchmark

和《歐盟-美國隱私護盾》以及《瑞士-美國隱私護盾》的作法不同的是， GDPR 未提供認證，證實 Benchmark 遵守其最新規則，但我們仍然不斷更新我們的隱私權政策，嚴格遵守其相關規定。

Benchmark 再次向您保證我們會嚴格遵守《一般資料保護規定》處理您的個人資料。

為了協助您適應法令轉變，Benchmark將於歐洲中部夏令時間 2018 年 4 月 11 日上午 11 點（台灣當地時間為 2018 年 4 月 11 日下午 17 點）舉辦網路研討會「GDPR規範下的郵件行銷：什麼該做、什麼不該做」。關於 GDPR 詳細資訊，請參照歐盟官網的相關文件。

歐盟首次在個資處理議題上，展現領導力和團結一致的態度。另外，他國若想處理歐洲個人資料，歐盟亦強制要求他國遵循《一般資料保護規定》。

歡迎與大家分享本文，別忘了留下寶貴意見。謝謝您的耐心閱讀！