GDPR 與台灣的非營利組織

號稱史上最嚴的歐盟「一般資料保護規定」(General Data Protection Regulation,簡稱 GDPR),將於 2018 年 5 月 25 日生效,因為個資定義較以前廣泛、不僅約定歐盟境內組織、且有巨額罰款(最高2千萬歐元),在商業領域頗受重視。而對於我們國內的非營利組織來說,有什麼要注意的地方嗎?

以下是參考國內外的一些資訊所做的整理,供大家參考(也請指正):

GDPR 的基本概念

個資範圍:

  • 姓名
  • 地址
  • 電子郵件
  • IP位址
  • 身分證等證件字號
  • 生物識別資訊(指紋、虹膜、DNA)
  • 生理或心理特徵
  • 職業
  • 位置資訊
  • 醫療/健康資訊
  • 網站 cookies

受影響的組織:

  • 理論上來說,若有收集到歐盟成員國家公民的個資...(「如果組織的志願工作者、會員、贊助者、捐款人、顧問…是歐盟公民,您擁有他們的聯絡資訊、稅捐資料等,就受 GDPR 規範」)
  • 網域採用歐盟國家的頂級網域

可能不會受影響的組織:

  • 投放一般性的廣告、製作一般性的網站,並未特別針對歐盟公民進行宣傳(似乎跟上述矛盾,但實務上仍有比例原則等權宜空間)
  • 針對美國客戶製作的英文網站、網路廣告

違反 GDPR 的事項:

  • 對個資保護不周,導致個資被竊取、被非法存取。
  • 任意使用歐盟公民個資,但脫離約定目的,或缺乏正當性。(例如某活動蒐集的個資,被轉給另一個無關的活動使用)
  • 未給予個資當事人包括更正、刪除、可攜帶其個人資料等應有的權利。
  • 沒有採取足夠的安全技術保護個人資料,或未保存使用個資的歷史記錄。

給組織的建議:

  • 不論是詢問個資的使用、或是讓使用者請求撤銷個資之同意書,都應使用易於理解的說明文字,並與其他事項內容區隔。
  • 雖然國內多數的非營利組織不會到歐盟國家募款,但仍應藉此機會重新檢視組織內部的個資蒐集與處理程序。例如:
    • 我們擁有哪些個資?這些個資存放在哪裡?誰可以存取這些個資?
    • 採用哪些安全措施以保障資料/資料庫的安全?
    • 可以存取資料/處理資料的廠商,是否比我們更重視資料安全/資料保護?
    • 我們是否有簡明清楚的隱私權政策?
  • 若爆發個資外洩的資安事件,應即刻通報主管機關、或因資料外洩而處於重要危害的當事人。

參考資料:

跟網站 cookies 相關的(例如如果有用到 Google 流量分析的話)

要主動跟網站訪客說,我們的網站正在使用 cookie 做相關監測,並需要網友明確表示同意、才能使用 cookie

  • 網站上應出現提醒訊息,說明網站正在使用 cookies
  • 說明有些 cookies 是為了維持使用者體驗所必須的、哪些是可以選擇性採用的
  • 提供一個預設未勾選的同意選項,讓使用者明確表示他願意接受這些 cookies
  • 提供隱私權政策與 cookie 政策的連結,讓網友可以進一步瞭解相關細節
  • 說明未來可以如何改變目前的同意/不同意的選擇

參考資料:

個資管家:妥善保管支持者的個資

相對於捐款人信任組織、捐款給組織,組織也應妥善保管支持者的個資。包括尊重捐款人的隱私選擇、妥善保護資料避免落入他人手中,以及坦承地說明組織會如何使用這些個資。這些個人資料不是組織「擁有」的資料,不能任意使用,必須對個資提供者善盡責任。雖然 GDPR 也許不會影響到目前國內大部分的非營利組織,但是相關的個資保護的趨勢將會持續網這個方向發展,因此,組織若能藉此機會跟大眾說明自己的資料保護原則,將有助於建立組織的品牌形象。

參考資料: