歐盟《通用數據保障條例》(GDPR,General Data Protection Regulation)於2018年5月25日生效,鑒於新條例適用於歐盟境內及境外,所以任何歐盟、跨國或香港企業/機構在處理歐盟居民的個人資料時,必須符合新標準,否則須付巨額罰款。香港貿發局中小企服務中心早前邀請法律專家講解《通用數據保障條例》,協助港商減低違規風險。
規範企業處理客戶個人資料
據了解,任何企業/機構如透過雲端建立大數據,或透過社交網站和手機應用程式投放廣告,均會牽涉用戶資料,因此在法例上該等企業/機構即被視為「資料控制者/資料處理者」。
盛德律師事務所(香港)律師馮嘉麒指出,《通用數據保障條例》是一套全面的個人資料保障及私隱制度,規範了企業(包括資料控制者/資料處理者在內)處理客戶個人資料的方法,以及賦予個人用戶查閱權、被遺忘權等保障自身資料的權利。該項條例不僅適用於歐盟成員國的企業/機構,甚至在世界各地設立據點(即歐盟境外)而持有任何歐盟居民(包括住在歐盟境內的香港人)資料的企業/機構,亦必須遵守此項條例。「只要客戶向企業/機構提供歐盟境內的住址資料,其個人資料便受到歐盟法例的保障。」
保障歐盟境內居民
在歐盟境內設立並收集或處理客戶個人資料的機關,一概被視為「歐盟資料控制者/資料處理者」。馮嘉麒說,歐盟法規雖尚未對「機關」角色有任何詳細的定義,但可把「機關」理解為「任何向歐盟人士進行貨品或服務推銷、出售、宣傳或促銷活動的分支機構或子公司、銷售辦事處或銷售代理機構」。
若歐盟境外企業/機構向歐盟境內人士提供貨品或服務、或採用Cookie等技術向他們作出網上追蹤或監察活動的行為,一概被視為「非歐盟資料控制者/資料處理者」。但馮嘉麒提醒中小企,任何歐盟境外企業/機構只要使用歐洲成員國的語言、歐盟域名.eu或採納歐元為交易貨幣,均構成向歐盟人士提供貨品或服務的行為,即使客戶沒有付款完成交易,其活動亦會受《通用數據保障條例》規管。
須先徵求歐盟客戶允許 方能將資料用作推廣用途
由於個人資料可用來識別「資料當事人」的身份,所以資料控制者/資料處理者需慎用及合理地使用個人資料,以免侵犯當事人的個人私隱。馮嘉麒稱,一般個人資料包括姓名、身份識別號碼、出生日期、位置資料、網上識別代號;而敏感個人資料則包括種族或民族本源、政見、宗教、工會會籍、性取向、健康狀況等。「一旦資料控制者/資料處理者對敏感個人資料處理不當,或會對當事人構成嚴重傷害或歧視性後果。新法例要求企業或機構,必須委任保障資料主任來處理大規模的敏感個人資料。」
為合法處理歐盟顧客的個人資料,在歐盟境內及境外的資料控制者/資料處理者,或任何負責處理資料的第三方機構,均須在網上以書面方式徵求當事人的同意,以及向當事人明確列明他們擁有撤回同意的權利,而書面內容所採用的語言須簡單、易明及容易讀取。
換言之,任何企業/機構如採用歐盟客戶的個人資料進行市場推廣,須事先取得客戶的同意。馮嘉麒補充,顧客需要確認被聯絡的意願,而且企業/機構須在意向書上向顧客提供「同意」及「不同意」選項。
他又指,由於Cookie技術可用來識別個人身份,故亦受新條例約束;當網站要使用Cookie技術來收集個人資料時,必須取得瀏覽者的同意,並向對方列明可撤回設置Cookie的權利。
增設資料外泄通報機制
馮嘉麒稱,《通用數據保障條例》強制規定企業/機構,在得悉外泄事故後的72個小時內,必須對外通報事故,並向歐盟成員國監管機構作出通報。他續指,通報內容包括外泄資料的性質和後果、受影響人士(資料當事人)的數目和種類,以及企業/機構所採取的補救措施。倘外泄事故對資料當事人的權利和自由造成高度風險,企業/機構亦有責任通知受影響人士。
另外,新法例亦引進罰款分級制度,某些違規行爲將可被處以高達1,000萬歐元,或上一個財政年度全球年度營業額2%的罰款(以較高者為準)。嚴重違規的資料掌控者或資料處理者,可被處以高達2,000萬歐元,或上一個財政年度全球年度總營業額4%的罰款(以較高者為準)。
相關網頁:
延伸閱讀:
