GDPR 歐盟一般資料保護規則 EDPB

針對歐盟地區以外的運營企業 AIQ打破距離與門檻迷思

解惑企業GDPR法遵疑問 詳解領土適用範圍

2020-02-13
歐盟一般資料保護規則(General Data Protection Regulation,GDPR)在2019年5月25日正式施行滿一年,其中領土適用範圍一直是企業所重視之議題,為降低企業的困擾,歐洲資料保護委員會(European Data Protection Board,EDPB)在其第15次全體會議上通過最新版的領土適用範圍指南(下稱EDPB指南)。

 

EDPB指南反映了立法者的意圖,即在當今全球範圍內不斷發生資訊流的背景下,確保充分保護歐盟資料主體的權利,並為經營歐盟市場的企業建立公平的競爭環境,但同時也使企業產生不少疑問。EDPB指南旨在解決這些問題,這代表對於歐盟地區以外運營的所有公司之基本要求,而這些公司需要了解其活動是否屬於GDPR範圍之內。

分支機構規範之應用

GDPR第3條第1項規定,本規則適用於資料控制者(確定處理資料的目的和方法的人)或處理者資料處理者(代表控制者處理個人資料的組織)在歐盟境內之分支機構所為之個人資料處理活動,不問該處理是否發生於歐盟境內。

故該項的適用要件包括:1.資料控制者或資料處理者係在歐盟境內之機構(機構意指通過穩定的安排有效而實際地開展活動,無論係透過常設機構或具有法人資格的子公司均屬之);2.處理係於該機構範圍內進行,並不管其處理之資料主體處於何處或其國籍為何。

EDPB指南明確指出,於某些情形內,歐盟中只有一個非歐盟實體的僱員或代理人在場,但其具有足夠的穩定度,就足以構成一種穩定的組成而受到GDPR的規範。而縱使實體未在歐盟中設有資料控制者或資料處理者,亦不意味著無法將GDPR應用於該實體。如果受GDPR規範的資料控制者選擇使用位於歐盟之外的資料處理者進行處理活動,則資料控制者仍然有必要通過契約或其他法律行為來確保合乎GDPR的要求,亦即資料控制者仍必須依據GDPR規範來處理資料,因此,位於歐盟外部的資料處理者將間接承擔,由GDPR規範的資料控制者所施加的特定義務,使處理過程滿足GDPR的要求,藉以確保資料主體的權利。

定位規範之應用

GDPR第3條第2項規定,本規則適用於由非設立於歐盟境內之控管者或處理者對於歐盟境內之資料主體所為涉及如下事項之個人資料處理:1.對歐盟境內之資料主體提供商品或服務,不問是否需要資料主體支付費用;2.對於資料主體於歐盟內所為行為之監控。

該項認為,有關資料主體的所在地是評估資料主體是否適用GDPR的關鍵因素,因為GDPR賦予的保護係適用所有處於歐盟境內的自然人,與其國籍或居住地等因素無關。因此,在提供商品或服務或對其行為進行監控時,必須考慮資料主體位於何處,而不考慮是否有支付費用,或進行監控的持續時間長短。

又或者,為確定處理是否涉及對資料主體行為的監控,EDPB指南明確指出對網際網路上對自然人的監控(包括隨後可能使用的分析技術)內容,包括廣泛的控制活動,例如行為廣告,地理定位(尤其是出於營銷目的),通過使用Cookie進行線上追蹤或其他追蹤技術(例如指紋識別)、飲食分析和線上健康個人化服務、影像監控、市場研究和其他基於個人檔案的行為研究以及有關個人健康的監測或定期報告等,均屬於對自然人監控的一環。

依國際法在成員國法律的地方進行處理

GDPR第3條第3項規定,本規則適用於由非設立於歐盟境內之資料控制者或資料處理者,但會員國法律依國際公法可得適用領域內所為之個人資料處理。

歐洲資料保護委員會通過最新版GDPR領土適用範圍指南。

因此,當歐盟成員國大使館和領事館進行的個人資料處理屬於GDPR第2條所定義之範圍內,而有GDPR的適用,而成員國的外交或領事人員,作為資料控制者或資料處理者,則應遵守GDPR的所有相關規定,包括涉及資料主體的權利,與資料控制者和資料處理者有關的一般義務,以及將個人資料轉移到第三國或國際組織均受到規範。

未於歐盟境內設立控制者或處理者之代表

根據GDPR第27條規定,如適用第3條第2項時,受GDPR約束的資料控制者或資料處理者有義務以書面指定於歐盟境內的代表。因此,非設立於歐盟境內但受GDPR規範,而未能指定歐盟代表的資料控制者或資料處理者將違反GDPR規範。

而EDPB指南明確指出,代表的存在並不構成「機構」;歐盟中的代表與資料保護官(Data Protection Officer,DPO)的角色不相容,後者必須在組織內部具有足夠的權利來執行其任務。實際上,代表可以根據與個人或組織簽訂的服務合約來運作,因此可以由各種商業和非商業實體(例如律師事務所、顧問公司、私人公司等),而一位代表也可以代表幾個非歐盟的資料控制者和資料處理者。

另外,當處理行為並未針對歐盟的公民提供商品、服務或監控其於歐盟中的行為時,在第三國進行的歐盟公民或居民個人資料的處理亦不適用GDPR。

EDPB指南表示,雖然GDPR並未要求資料控制者或代表將其指定通知監管機構,但根據第13條第1項a款和第14條1項a款,EDPB指南仍要求,依據其資訊提供義務,資料控制者仍應向資料主體提供有關其在歐盟中電聯代表之身份及聯繫方式。

結語

部份業者認為GDPR不會對較小的海外公司採取執法行動,被稱為距離迷思(Distance Myth),又或者基於所蒐集的資料類型與性質而是存在違規門檻,被稱為門檻迷思(Threshold Myth),但英國隱私專員辦公室向位於加拿大的AggregateIQ Data Services Limited(AIQ)公司送達執法公告,其後第二次執法公告雖將範圍限於英國地區的實體,然顯已打破上開二種迷思,同時亦造成海外業者應如何適用GDPR產生一定困惑。

如今EDPB所提出的領土適用範圍指南,其中除對於條文做出解釋外,同時亦以多個適用案例說明,應可適度解決企業對領土適用範圍所產生的疑惑。

<本文作者:蕭崴仁,現任職於鼎昊法律事務所。>

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!