實務上對於GDPR的幾個根本誤解普華商務法律事務所 蔡朝安主持律師/張馨云副總經理/鄭鈺璇律師

號稱史上最嚴資料保護規定的歐盟GDPR已經正式上路,對於歐盟主管機關接下來的執法力道如何,各國企業嚴陣以待。不可諱言,要達成GDPR的法遵必須付出一定的成本,但若對於GDPR沒有正確的認識,可能會把資源花在不必要的項目上,不僅勞神傷財費時,又達不到預期的目標。為避免這樣的情況,本文擬針對外界對GDPR常有的三項誤解作出澄清說明,以供業界在正確的資訊下,作出對自己最有利的決策。

資訊保護官(Data Protection Officer, DPO)的設置要求
近來我國主管機關拋出在國外設有分行的銀行應設置DPO的要求,似乎認為DPO的設置是GDPR一概的強制規定,此為常見的誤會之一。但是,從GDPR的規定來看,「應」設置DPO的情況只有以下三種 :
•    公家機關處理資料時(法院執行職務時除外);
•    當個資控制者或處理者的核心活動內容涉及大量經常性及系統性的個資監管;
•    當個資控制者或處理者的核心活動內容涉及大量特種個資(例如種族、政治意見、宗教哲學信仰、工會會員身分、性向或性生活等)或刑事紀錄時。

以銀行為例,看起來似乎會落入第2項的情形,然而若更深入探究,答案卻是未必。首先,歐盟第29條資料保護工作小組(WP29)(自2018年5月25日起改為歐洲資料保護委員會(European Data Protection Board))在其針對DPO制定的指導規則中,將銀行所處理的客戶資料量列舉為「大量(large-scale)」的情形,但其並未將任何一種行業或業務,歸類為絕對必須設置DPO的類型。其所揭示建議的是,企業在考量是否設置DPO時,應個案考量包含個資當事人的數量、資料的數量、資料處理的期間及地理範圍等因素。就此,以部分在國外設有分行的銀行來說,其服務的對象如果僅有企業客戶,業務類型也限於聯貸等不會涉及「大量個資處理」作業的情形,則不屬於GDPR強制要求設置DPO的範圍。

如果GDPR沒有強制要求設置DPO,接下來再確認營業所在地的內國法有沒有相關要求,若以在倫敦設置分行的銀行而言,因為英國對於DPO的設置並未強制要求,則對於該銀行來說,DPO的設置即是自由的選項。不過選擇不設置DPO之後,為了執行GDPR的要求,實際上仍然建議設有一個聯絡窗口處理個資保護相關事務。

誠然,企業也可能基於類如爭取客戶認同的目的而設置DPO,但一旦選擇設置,就必須符合GDPR的規定,並負起相應的義務和責任,不可不慎。舉例而言:
•    DPO必須具有個資保護法相關的專業知識及經驗,足以勝任GDPR賦予的任務 。雖然對於知識經驗的要求並沒有一定的判準,但可以確定的是,這並不是隨便任何人都可以擔任的職位。
•    此外,DPO的職務應有獨立性,其所執掌的工作不得與個資保護的職責有衝突。DPO亦不得因為執行職務受到公司處罰或解僱等不利的處分 。
•    企業所有關於個資保護的議題,都必須讓DPO可以及時、適當地參與並提供意見。DPO的意見必須進入到高層的會議,且第29條工作小組建議,如果決策者不採納DPO的意見,最好將原因用書面留下記錄。
•    如果公司違反上列規定,可能面臨最高1,000萬歐元,或前一年全球營業額2%的罰鍰,以較高者為準。
簡單來說,DPO執行職務時有其獨立性,且企業必須確保DPO有足夠的能力及資源踐行GDPR所賦予的任務,否則反而可能受罰。因此,若GDPR並未要求,企業在決定是否自行設置DPO前,應仔細評估,方為上策。

ISO認證不等於百分之百GDPR遵法保證
再來,許多企業以為遵照國際標準化組織(ISO)針對GDPR修訂的最新標準取得認證,就可以高枕無憂,這也是需要加以澄清的。誠然,遵照ISO的規範進行系統及制度的修正,可能表示企業已經準備好迎接GDPR,但GDPR的遵法重點在於企業後續是否落實制度的執行,例如當發生個資侵害的事件時,是否採取對應措施、是否依法通報主管機關或當事人等。換句話說,重點在於企業是否確實依照GDPR的要求踐行對個資的保護,而不是只取得一紙ISO證書。
 
另外,ISO是一套項目固定的評量標準,並未依照企業的需求量身打造最適合的GDPR遵法計畫。例如GDPR規定歐盟各會員國,對於同一個規範可以設定寬嚴不同的標準,這是GDPR法遵上不可忽視的一個環節,業者應該特別需要注意。

客戶的國籍不影響GDPR的適用範圍
最後,多數企業對於GDPR的誤解還包括,以為所有具有歐盟會員國國籍的客戶,都在GDPR的射程範圍內,所以要對企業所接觸到的個人國籍進行清倉大盤點,這樣的想法是對於GDPR的立法旨趣最根本的誤會。GDPR開宗明義即言,對個資的保護是自然人的基本權利,顯然GDPR認為個資當事人根據該部法律所享有的,是普世的權利。意即無論個資當事人的國籍為何,都享有同等的保護。因此,不難理解GDPR的主旨在於規範個資處理、利用的活動(或稱為「資訊流(Data Flow)」)。是以可以想見所有流經歐盟法權所及之處的資訊,都會落入GDPR的管轄範圍。
在這樣的基礎之下,如果僅是盤點歐盟會員國國籍的客戶個資,可能會發生在法國居住的台灣人個資權利被忽略的疏漏,或是德國國民純粹在台灣的個資活動也必須花費大量時間物力管理的錯誤。因此,正確的認知應該是盤點企業所有與歐盟經濟區有關的個資活動,至於個資當事人的國籍,則在所不問。