部落格

您在這裡

號稱史上最嚴的歐盟「一般資料保護規定」(General Data Protection Regulation,簡稱 GDPR),將於 2018 年 5 月 25 日生效,因為個資定義較以前廣泛、不僅約定歐盟境內組織、且有巨額罰款(最高2千萬歐元),在商業領域頗受重視。而對於我們國內的非營利組織來說,有什麼要注意的地方嗎?

以下是參考國內外的一些資訊所做的整理,供大家參考(也請指正):

GDPR 的基本概念

個資範圍:

  • 姓名
  • 地址
  • 電子郵件
  • IP位址
  • 身分證等證件字號
  • 生物識別資訊(指紋、虹膜、DNA)
  • 生理或心理特徵
  • 職業
  • 位置資訊
  • 醫療/健康資訊
  • 網站 cookies

受影響的組織:

  • 理論上來說,若有收集到歐盟成員國家公民的個資...(「如果組織的志願工作者、會員、贊助者、捐款人、顧問…是歐盟公民,您擁有他們的聯絡資訊、稅捐資料等,就受 GDPR 規範」)
  • 網域採用歐盟國家的頂級網域

可能不會受影響的組織:

  • 投放一般性的廣告、製作一般性的網站,並未特別針對歐盟公民進行宣傳(似乎跟上述矛盾,但實務上仍有比例原則等權宜空間)
  • 針對美國客戶製作的英文網站、網路廣告

違反