【大纪元2018年12月07日讯】(大纪元记者郭曜荣台湾台北报导)号称“史上最严格”的欧盟个资法GDPR,今年5月25日正式上路,最高主管机关欧洲资料保护委员会(EDPB)近期首次对非欧企业发布指示,专家建议企业可参考四个适用与四个不适用GDPR的情境,进行更精准的判断。
KPMG安侯建业数位科技安全服务负责人谢昀泽表示,台湾的企业,目前较重视GDPR且整备度较高的产业,为金融业及与欧盟往来密切的物联网、云端服务等产业。
至于是否所有与会搜集、处理欧盟个人资料的产业都应该要高度紧张?谢昀泽建议企业可参考四个适用与四个不适用GDPR的情境。四种适用的情境包括:第一,在台湾的电子商务网站,且在台湾境内处理资料,并在欧洲有分支机构;第二是在台湾的地图服务公司,在欧盟没有分支机构或业务,但在欧洲提供游客地图使用服务时,使用者会收到来自欧洲的饭店、酒吧的广告。
第三是在台湾当地的网站提供照片客制化服务,付款方式包含欧元和英镑,并可以将照片寄到欧盟境内;第四则是在台湾的行销中心分析位于法国购物中心的WIFI数据,与分析法国购物中心内客户的流动。
四种不适用的情境则包括:第一,台湾的银行的客户拥有德国国籍,且该客户居住在台湾,该银行仅在台湾经营,不针对欧盟市场提供服务;第二是非欧盟国家移民局在出入国境时,检查欧盟公民身份;第三是在台湾的公司拥有法国和意大利的员工,进行人力资源管理,包含付薪水,但不包含监控员工行为;第四则是在欧洲旅游的台湾人,在欧洲下载由台湾公司提供的APP,但此APP仅针对台湾市场。
KPMG安侯法律事务所执行顾问翁士杰说明,这次EDPB的指令扩大对分支机构一词的解释,范围不再仅止于传统法定组织型态;即使未设立分公司、子公司或办事处,如非欧盟企业有员工或代理人在欧盟境内进行商业活动,在特定情况下也可能被认定已建立该非欧盟企业与欧盟之间的必要法律关联性,因此将原本非欧盟企业处理的个资纳入GDPR的适用范围。
他强调,虽然EDPB最新的说明已排除一些模糊地带,针对部分未与欧盟密切往来的企业或依法执行公务的公部门大幅降低了适法性风险,但所有企业仍要持续观察全球对数据保护强度提高与一致性要求的趋势。◇
责任编辑:昱作
