首頁 要聞 焦點

GDPR擴及非歐企業 台商注意8大情境

號稱「史上最嚴格」的GDPR正式實施後,最高主管機關歐洲資料保護委員會近期首次對非歐企業發布指示。圖為示意照。(擷自歐盟GDPR組織)
號稱「史上最嚴格」的GDPR正式實施後,最高主管機關歐洲資料保護委員會近期首次對非歐企業發布指示。圖為示意照。(擷自歐盟GDPR組織)

【記者郭曜榮/台北報導】號稱「史上最嚴格」的歐盟個資法GDPR,今年5月25日正式上路,最高主管機關歐洲資料保護委員會(EDPB)近期首次對非歐企業發布指示,專家建議企業可參考四個適用與四個不適用GDPR的情境,進行更精準的判斷。

KPMG安侯建業數位科技安全服務負責人謝昀澤表示,台灣的企業,目前較重視GDPR且整備度較高的產業,為金融業及與歐盟往來密切的物聯網、雲端服務等產業。

至於是否所有與會蒐集、處理歐盟個人資料的產業都應該要高度緊張?謝昀澤建議企業可參考四個適用與四個不適用GDPR的情境。四種適用的情境包括:第一,在台灣的電子商務網站,且在台灣境內處理資料,並在歐洲有分支機構;第二是在台灣的地圖服務公司,在歐盟沒有分支機構或業務,但在歐洲提供遊客地圖使用服務時,使用者會收到來自歐洲的飯店、酒吧的廣告。

第三是在台灣當地的網站提供照片客製化服務,付款方式包含歐元和英鎊,並可以將照片寄到歐盟境內;第四則是在台灣的行銷中心分析位於法國購物中心的WIFI數據,與分析法國購物中心內客戶的流動。

四種不適用的情境則包括:第一,台灣的銀行的客戶擁有德國國籍,且該客戶居住在台灣,該銀行僅在台灣經營,不針對歐盟市場提供服務;第二是非歐盟國家移民局在出入國境時,檢查歐盟公民身分;第三是在台灣的公司擁有法國和義大利的員工,進行人力資源管理,包含付薪水,但不包含監控員工行為;第四則是在歐洲旅遊的台灣人,在歐洲下載由台灣公司提供的APP,但此APP僅針對台灣市場。

KPMG安侯法律事務所執行顧問翁士傑說明,這次EDPB的指令擴大對分支機構一詞的解釋,範圍不再僅止於傳統法定組織型態;即使未設立分公司、子公司或辦事處,如非歐盟企業有員工或代理人在歐盟境內進行商業活動,在特定情況下也可能被認定已建立該非歐盟企業與歐盟之間的必要法律關聯性,因此將原本非歐盟企業處理的個資納入GDPR的適用範圍。

他強調,雖然EDPB最新的說明已排除一些模糊地帶,針對部分未與歐盟密切往來的企業或依法執行公務的公部門大幅降低了適法性風險,但所有企業仍要持續觀察全球對數據保護強度提高與一致性要求的趨勢。◇