2018-05-15 By charles
號稱史上最嚴的歐盟「一般資料保護規定」(General Data Protection Regulation,簡稱 GDPR),將於 2018 年 5 月 25 日生效,因為個資定義較以前廣泛、不僅約定歐盟境內組織、且有巨額罰款(最高2千萬歐元),在商業領域頗受重視。而對於我們國內的非營利組織來說,有什麼要注意的地方嗎?
以下是參考國內外的一些資訊所做的整理,供大家參考(也請指正):
GDPR 的基本概念
個資範圍:
- 姓名
- 地址
- 電子郵件
- IP位址
- 身分證等證件字號
- 生物識別資訊(指紋、虹膜、DNA)
- 生理或心理特徵
- 職業
- 位置資訊
- 醫療/健康資訊
- 網站 cookies
受影響的組織:
- 理論上來說,若有收集到歐盟成員國家公民的個資...(「如果組織的志願工作者、會員、贊助者、捐款人、顧問…是歐盟公民,您擁有他們的聯絡資訊、稅捐資料等,就受 GDPR 規範」)
- 網域採用歐盟國家的頂級網域
可能不會受影響的組織:
- 投放一般性的廣告、製作一般性的網站,並未特別針對歐盟公民進行宣傳(似乎跟上述矛盾,但實務上仍有比例原則等權宜空間)
- 針對美國客戶製作的英文網站、網路廣告
違反 GDPR 的事項:
- 對個資保護不周,導致個資被竊取、被非法存取。
- 任意使用歐盟公民個資,但脫離約定目的,或缺乏正當性。(例如某活動蒐集的個資,被轉給另一個無關的活動使用)
- 未給予個資當事人包括更正、刪除、可攜帶其個人資料等應有的權利。
- 沒有採取足夠的安全技術保護個人資料,或未保存使用個資的歷史記錄。
給組織的建議:
- 不論是詢問個資的使用、或是讓使用者請求撤銷個資之同意書,都應使用易於理解的說明文字,並與其他事項內容區隔。
- 雖然國內多數的非營利組織不會到歐盟國家募款,但仍應藉此機會重新檢視組織內部的個資蒐集與處理程序。例如:
- 我們擁有哪些個資?這些個資存放在哪裡?誰可以存取這些個資?
- 採用哪些安全措施以保障資料/資料庫的安全?
- 可以存取資料/處理資料的廠商,是否比我們更重視資料安全/資料保護?
- 我們是否有簡明清楚的隱私權政策?
- 若爆發個資外洩的資安事件,應即刻通報主管機關、或因資料外洩而處於重要危害的當事人。
參考資料:
跟網站 cookies 相關的(例如如果有用到 Google 流量分析的話)
要主動跟網站訪客說,我們的網站正在使用 cookie 做相關監測,並需要網友明確表示同意、才能使用 cookie
- 網站上應出現提醒訊息,說明網站正在使用 cookies
- 說明有些 cookies 是為了維持使用者體驗所必須的、哪些是可以選擇性採用的
- 提供一個預設未勾選的同意選項,讓使用者明確表示他願意接受這些 cookies
- 提供隱私權政策與 cookie 政策的連結,讓網友可以進一步瞭解相關細節
- 說明未來可以如何改變目前的同意/不同意的選擇
參考資料:
個資管家:妥善保管支持者的個資
相對於捐款人信任組織、捐款給組織,組織也應妥善保管支持者的個資。包括尊重捐款人的隱私選擇、妥善保護資料避免落入他人手中,以及坦承地說明組織會如何使用這些個資。這些個人資料不是組織「擁有」的資料,不能任意使用,必須對個資提供者善盡責任。雖然 GDPR 也許不會影響到目前國內大部分的非營利組織,但是相關的個資保護的趨勢將會持續網這個方向發展,因此,組織若能藉此機會跟大眾說明自己的資料保護原則,將有助於建立組織的品牌形象。
參考資料:
