一般資料保護規定

歐盟 (EU)會員國原本各自為政的個資處理法規,隨著《一般資料保護規定》即將上路,及其整併強化之立法目的,會員國全數一體適用新版規則,以建構歐盟一致保護框架。

目前 28 個會員國各自訂立個資法規,法之效力拓及國際貿易。不過正因如此,行使個資保護的權利更顯綁手綁腳、窒礙難行。

《一般資料保護規定》影響效力無遠弗屆,各種企業不管規模大小、產業類別,皆有所牽連。而不同業務如何遵守本規則、合理使用客戶個資,亦有不同因應處理方式

2016年,歐洲議會、歐洲高峰會通過第 2016/679 號法案(GDPR),將於 2018 年 5 月 25 日生效施行。新版規範保護自然人的個資,側重資料處理與自由流通。本文將協助各位了解何謂 GDPR、所應履行之職責、不可觸犯的層面。另外,我們也向您保證,Benchmark 郵件行銷工具嚴格遵循《一般資料保護規定》。

新版規則絕非取代歐盟會員國現有法令,而是同步整合各國個資法與 GDPR。會員國仍可依照國內相關規範做出判決不過,要注意的是,責任方必須參照《一般資料保護規定》做為判決主要依據,而不是各國本身的個資法規。

若您目前符合所在國/地區的個資法令,那麼您已打下穩固基礎。不過,您仍需修正某些層面以便符合新版規則的規定。

規劃行銷郵件策略時,三大重點請謹記於心:用戶同意、查閱使用個資蒐集

用戶同意

根據《一般資料保護規定》第四條第11款,個資當事人所謂的「同意」指的是,透過任何無償提供的聲明、具體明確的同意行為,清楚表達當事人同意他人處理與他/她有關的個人資料;

如前述定義所言,用戶的同意需明確、清楚。這兩個詞消除了任何不確定或含糊不清的界線。

第32條:當事人以明確的肯定行為表達同意,透過任何無償提供的聲明、具體明確的同意行為,清楚表達當事人同意對方處理與他/她有關的個人資料,例如:書面聲明(電子方式或口頭陳述),包括瀏覽網站時勾選同意選項、為資訊社會服務(網路影音服務)進行技術設定、其他陳述或行為清楚地表明當事人接受他人對他/她的個資處理。

用戶未應答、不作為或事先替用戶勾好同意選項皆不可視為同意。所謂同意指的是同意他人以單一(多重)同等目的處理所有個人資料。當個資處理牽涉不同目的時,每一項都應取得當事人同意。若他人以電子方式向當事人提出同意請求,該請求必須清楚、簡潔、而且不會造成個資處理不必要的負面影響。

舉例:

我最近參加一場貿易展覽,因而在會展上蒐集了不少名片,我準備將這些名片鍵入資料庫並上傳到我的 Benchmark 帳戶,為的是發送電子報。

有了新版規範,我這樣做合法嗎?

答案是否定的。即便取得每個人的口頭確認,會展上拓展人脈不代表您有權使用他們的個資。 GDPR 要求取得雙方達成協議的證據。

GDPR 指出,萬一需要審查,責任方必須提出用戶清楚明確的同意聲明,也就是拿出證據證實用戶同意他人使用自己的個資。

建議改善作法:

⦁  審視您蒐集個資的方法,消除當中含糊不清的方式。

⦁  分析您的資料庫,只保留用戶同意您使用他們個資的證明。

查閱使用

處理個資的責任方需提供每位用戶簡單明瞭的處理管道,用來修改自己的個人資料;另需提供確認管道,讓用戶透過電子方式(例如:網站、訂閱表格、電郵確認)同意他人使用個資。

責任方將有一個月的時間取得用戶同意。若是複雜的請求(因為要完成用戶要求的必要步驟導致),可延長至兩個月。

在我們的電子郵件行銷工具中,「管理訂閱」選項允許用戶線上他們的個資,並在需要時進行修改或直接取消訂閱。

關於這點,《一般資料保護規定》第17條詳述新訂權利「刪除的權利」,用戶可行使「被遺忘權」,永久將其個資從資料庫中刪除。本文摘述該條文第一項第一款、第四款,提供用戶行使「被遺忘權」的原因:

a)個人資料蒐集、處理之特定目的消失,得向責任方請求刪除個人資料

b)個人資料已遭非法濫用:;

個資蒐集:

《一般資料保護規定》主張簡化個資蒐集。身為行銷人員,我們要求太多非必要的個資細節,但其實只是為了寄送每週電子報。因此,GDPR 規定大家精簡蒐集用戶個資,而不是蒐集多餘資訊作為日後其他用途。

若您想通知用戶即將到來的促銷活動,蒐集用戶姓名和電郵地址便已綽綽有餘,足以達到您的目標。

英國脫歐

英國將於 2019 年正式退出歐盟,GDPR 無法對英國有所約束力。我們目前不知道英國或其境內的公司將如何處理個資保護,但我們相信英國將會通過類似法規,與歐盟的 GDPR 具有同等效力。

若不符合新版 GDPR 要求,會有何下場?

《一般資料保護規定》制定一套處罰條款,包括處分與罰鍰。未能遵守新的規則,經過一番審慎評估才會判處罰鍰,以下為判決要素:

⦁  違法的嚴重性/違法行為持續時間;

⦁  受害的用戶人數及受損程度;

⦁  故意侵權與否

⦁  為減輕損害而採取的行動;

⦁  是否配合主管機關。

新版規定針對未遵守規則的責任方,制定兩類罰鍰上線。第一類為 1000 萬歐元以下的罰鍰,或是擔保上限等同全球年營業額的2%。

假設負責人不願按照新版規定的要求進行影響評估,則適用第一類罰鍰,罰鍰上限可高達 2000 萬歐元或是全球年營業額的 4%。

根據新版規定,一旦侵犯當事人的權利,將依每則個案情況,裁處不同罰鍰。

當您策劃郵件行銷策略時,請牢記上述要點(用戶同意、查閱使用個資蒐集)。

Benchmark

《歐盟-美國隱私護盾》以及《瑞士-美國隱私護盾》的作法不同的是, GDPR 未提供認證,證實 Benchmark 遵守其最新規則,但我們仍然不斷更新我們的隱私權政策,嚴格遵守其相關規定。

Benchmark 再次向您保證我們會嚴格遵守《一般資料保護規定》處理您的個人資料。

為了協助您適應法令轉變,Benchmark將於歐洲中部夏令時間 2018 年 4 月 11 日上午 11 點(台灣當地時間為 2018 年 4 月 11 日下午 17 點)舉辦網路研討會GDPR規範下的郵件行銷:什麼該做、什麼不該做」。關於 GDPR 詳細資訊,請參照歐盟官網的相關文件

歐盟首次在個資處理議題上,展現領導力和團結一致的態度。另外,他國若想處理歐洲個人資料,歐盟亦強制要求他國遵循《一般資料保護規定》。

歡迎與大家分享本文,別忘了留下寶貴意見。謝謝您的耐心閱讀!

作者簡介:

by