HKTDC.com關於香港貿發局My HKTDC

登入 / 登記

商貿活動
視訊
首頁
市場機遇科技及創新創業新聲可持續發展時尚創意貿發局消息


我的資訊

市場機遇

企業做妥個人資料保障 迎歐盟通用數據新法規

法律服務個人資料保障個人私隱歐盟通用數據保障條例GDPR資料控制者資料處理者資料當事人Cookie

不少企業透過社交網站、手機應用程式等渠道收集客戶的個人資料,然後用作市場推廣。隨着公眾愈來愈關注保護個人私隱,企業務須謹慎處理有關資料,以免掀起風波或捲入法律訴訟。

收聽

個人資料保障

歐盟《通用數據保障條例》(GDPR,General Data Protection Regulation)於2018年5月25日生效,鑒於新條例適用於歐盟境內及境外,所以任何歐盟、跨國或香港企業/機構在處理歐盟居民的個人資料時,必須符合新標準,否則須付巨額罰款。香港貿發局中小企服務中心早前邀請法律專家講解《通用數據保障條例》,協助港商減低違規風險。

規範企業處理客戶個人資料

據了解,任何企業/機構如透過雲端建立大數據,或透過社交網站和手機應用程式投放廣告,均會牽涉用戶資料,因此在法例上該等企業/機構即被視為「資料控制者/資料處理者」。

盛德律師事務所(香港)律師馮嘉麒指出,《通用數據保障條例》是一套全面的個人資料保障及私隱制度,規範了企業(包括資料控制者/資料處理者在內)處理客戶個人資料的方法,以及賦予個人用戶查閱權、被遺忘權等保障自身資料的權利。該項條例不僅適用於歐盟成員國的企業/機構,甚至在世界各地設立據點(即歐盟境外)而持有任何歐盟居民(包括住在歐盟境內的香港人)資料的企業/機構,亦必須遵守此項條例。「只要客戶向企業/機構提供歐盟境內的住址資料,其個人資料便受到歐盟法例的保障。」

馮嘉麒
盛德律師事務所(香港)律師馮嘉麒指出,《通用數據保障條例》是一套全面的個人資料保障及私隱制度,規範了企業(包括資料控制者/資料處理者在內)處理客戶個人資料的方法。

保障歐盟境內居民

在歐盟境內設立並收集或處理客戶個人資料的機關,一概被視為「歐盟資料控制者/資料處理者」。馮嘉麒說,歐盟法規雖尚未對「機關」角色有任何詳細的定義,但可把「機關」理解為「任何向歐盟人士進行貨品或服務推銷、出售、宣傳或促銷活動的分支機構或子公司、銷售辦事處或銷售代理機構」。

若歐盟境外企業/機構向歐盟境內人士提供貨品或服務、或採用Cookie等技術向他們作出網上追蹤或監察活動的行為,一概被視為「非歐盟資料控制者/資料處理者」。但馮嘉麒提醒中小企,任何歐盟境外企業/機構只要使用歐洲成員國的語言、歐盟域名.eu或採納歐元為交易貨幣,均構成向歐盟人士提供貨品或服務的行為,即使客戶沒有付款完成交易,其活動亦會受《通用數據保障條例》規管。

歐盟《通用數據保障條例》
根據歐盟《通用數據保障條例》,只要客戶向企業/機構提供歐盟境內的住址資料,其個人資料即受到歐盟法例的保障。

須先徵求歐盟客戶允許 方能將資料用作推廣用途

由於個人資料可用來識別「資料當事人」的身份,所以資料控制者/資料處理者需慎用及合理地使用個人資料,以免侵犯當事人的個人私隱。馮嘉麒稱,一般個人資料包括姓名、身份識別號碼、出生日期、位置資料、網上識別代號;而敏感個人資料則包括種族或民族本源、政見、宗教、工會會籍、性取向、健康狀況等。「一旦資料控制者/資料處理者對敏感個人資料處理不當,或會對當事人構成嚴重傷害或歧視性後果。新法例要求企業或機構,必須委任保障資料主任來處理大規模的敏感個人資料。」

為合法處理歐盟顧客的個人資料,在歐盟境內及境外的資料控制者/資料處理者,或任何負責處理資料的第三方機構,均須在網上以書面方式徵求當事人的同意,以及向當事人明確列明他們擁有撤回同意的權利,而書面內容所採用的語言須簡單、易明及容易讀取。

換言之,任何企業/機構如採用歐盟客戶的個人資料進行市場推廣,須事先取得客戶的同意。馮嘉麒補充,顧客需要確認被聯絡的意願,而且企業/機構須在意向書上向顧客提供「同意」及「不同意」選項。

他又指,由於Cookie技術可用來識別個人身份,故亦受新條例約束;當網站要使用Cookie技術來收集個人資料時,必須取得瀏覽者的同意,並向對方列明可撤回設置Cookie的權利。

歐盟《通用數據保障條例》
在歐盟境內及境外的資料控制者/資料處理者,或任何負責處理資料的第三方機構,均須在網上以書面方式徵求當事人的同意,方能把歐盟客戶的個人資料用作市場推廣用途。

增設資料外泄通報機制

馮嘉麒稱,《通用數據保障條例》強制規定企業/機構,在得悉外泄事故後的72個小時內,必須對外通報事故,並向歐盟成員國監管機構作出通報。他續指,通報內容包括外泄資料的性質和後果、受影響人士(資料當事人)的數目和種類,以及企業/機構所採取的補救措施。倘外泄事故對資料當事人的權利和自由造成高度風險,企業/機構亦有責任通知受影響人士。

另外,新法例亦引進罰款分級制度,某些違規行爲將可被處以高達1,000萬歐元,或上一個財政年度全球年度營業額2%的罰款(以較高者為準)。嚴重違規的資料掌控者或資料處理者,可被處以高達2,000萬歐元,或上一個財政年度全球年度總營業額4%的罰款(以較高者為準)。


相關網頁:


延伸閱讀:


閱讀更多

訂閱每週免費電郵通訊

亞洲商貿資訊,最快最新
多媒體方式展示市場先機
簡易介面,讓你隨時隨地輕鬆閱讀