欧盟个资法25日施行 违者最高罚7亿元 年度营业额4%
联征中心及银行公会今天(7日)举办「金融业因应欧盟个人资料保护规则」研讨会,金管会主委顾立雄强调欧盟个人资料保护规则将在今年(107年)5月25日全面实施,其裁罚额度大幅提高,最高可处2千万欧元,相当新台币7亿元,或年度全球营业额4%的罚锾。
欧盟个人资料保护规则(General Data Protection Regulation, GDPR)已发布近2年,适用范围除了在欧盟设立或注册的企业,也适用于未在欧盟地区设立或注册,但有搜集、处理及利用欧盟居民个资行为的境外企业。
金管会主委顾立雄于会中表示,以欧盟GDPR规范来看,较我国个人资料保护法严格,而再相较于1995年颁布的个人资料保护指令,在个资保护法规位阶上直接对成员国产生拘束力,在内容方面也大幅强化当事人应有的个资权利。
包含资料搜集处理需取得当事人明确有效同意、被遗忘权、个资可携权、资讯取得权及个资处理反对权、限制权等;并要求在使用新科技进行大量个资搜集时,新增资料管理者应先进行个资保护影响评估。
由于欧盟GDPR的国际资料传输系采取「原则禁止、例外开放」作法,如欲传输个人资料到第三国,须确保第三国已达到「适当的保护水平」,亦即第三国须通过欧盟执委会的适足性评估程序,或资料处理者应采行经欧盟主管机关认可的适当保护措施。