GDPR執法即將上路,歐盟資料保護工作小組於今年2月6日修正通過「個人資料侵害通報指引」個資侵害之定義、對監管機關之通報、與個資當事人之溝通、風險及高風險評估、當責與紀錄保存及其他法律文件所規定之通報義務等,均設有詳盡說明與事例。本文針對個資侵害定義、通報監管機關之程序等重點內容,擇要析述。
控制者的義務與責任
GDPR第26條針對共同控制者及其如何確定各自之法遵義務,設有相關規定,包括決定由哪一方負責遵循第33條(對主管機關通報)與第34條(對當事人通知)之義務。歐盟資料保護工作小組建議透過共同控制者間之契約協議,約明哪一方控制者係居主要地位者,或須負責盡到個資侵害時,GDPR所定之通知義務,並列載於契約條款中。
然而,處理者也有義務。原則上,控制者對個人資料之保護負全面性之責任,但透過處理者對控制者進行個資侵害通知,在促使其遵循法規義務層面,亦發揮重要作用。GDPR第28條(3)規定處理者之處理行為,應受契約或其他法律行為之拘束。此外,同條項(f)款更指出契約或法律行為應設有「處理者考量處理之性質與其可獲得之資料,協助控制者確保遵循第32條至第36條所應承擔的義務」之規定。GDPR第32條
(2)更清楚規定,當處理者受控制者所委託,而其知悉代為處理之個人資料有侵害情事時,必須即時通知控制者。
通報監管機關要點
當控制者通報監管機關個資侵害情事時,至少應包括下列事項(GDPR第33條(3)參照):
1. 敘述個人資料侵害之性質,包括但不限於所涉之相關個資當事人、個資紀錄及其類別、數量。GDPR雖未針對個資當事人及個資紀錄類別進行定義,歐盟資料保護工作小組建議可取決於所採用之關鍵字分類方式以區辨之,如兒童與弱勢群體、身心障礙者、職員工或顧客及其他等。個資紀錄部分亦同,如健康資料、教育資料、社福照顧資訊、財務細節、銀行帳號及護照號碼等。
2. 傳達資料保護長(DPO)或其他聯絡人之姓名與聯絡方式,俾利獲得進一步資訊。
3. 說明個資侵害可能之後果。
4. 描述控制者為解決個資侵害業已採取或擬採行之措施,在適當情況下,酌情採取措施以減輕可能產生之不利影響。
以上乃GDPR要求通報監管機關之最基本事項,在必要時,控制者仍應竭力提供其他細節。舉例而言,控制者如認為其處理者係個資侵害事件之根因(root cause),此時通報並指明對象即可警示委託同一處理者之其他控制者,從而頗具相當之實益。
另外需要注意的是分階段通知規定。鑒於個資事故之性質不一,控制者通常需進一步調查始能確定所有相關事實,GDPR第33條(4)爰設有得分階段通知(notification in phases)之規定。凡於通報時,無法同時提供之資訊,得分階段提供之。但不得有不必要之遲延。同理,在首次通報後之後續調查中,如發現該事件業已受到控制且並未實際發生個資侵害情事,控制者可向監管機關為更新。通報事件最終嗣經發現為非個資侵害事故,並不會面臨罰則。
歐盟內跨境侵害與非歐盟企業之侵害
揆諸GDPR第55條(1)、第56條(1)及(6)可知,當在跨境處理的情況下發生個資侵害且必須通報時,控制者須通報主要監管機關(Lead Supervisory Authority,LSA)。因此,控制者於制訂事故緊急應變計畫時,即應評估何機關係其於個資侵害時應通報之主要監管機關。
歐盟成員國個人資料監管機關列表
例如,某銀行之公司總部設在法蘭克福,所有的銀行業務亦均由該總部督導安排,但其保險部門位於維也納。如果在維也納的分支機構針對保險個資處理相關活動具決定權,且其在整個歐盟之分支機構均須據以執行時,則無論客戶身處何會員國,奧地利監管機關將成為以處理用於保險目的之跨境個人資料主要監管機關;德國當局則將成為監督銀行業務處理個人資料之主要監管機關。亦即,如發生保險個資侵害事件,應以奧地利監管機關為通報機關。
因GDPR之法域範圍及於非歐盟境內處理個人資料之控制者或處理者,凡屬GDPR第3條(2)所稱之控制者或處理者(即歐盟境外設立註冊,對歐盟境內人民提供商品或服務,無論是否有償,或監控其於歐盟境內活動之行為)及同條(3)所稱之控制者(即歐盟成員國域外設立企業,而依成員國法適用國際公法原則適用之),仍應依規定於個資侵害時進行通報。另由於GDPR第27條要求控制者(及處理者)於歐盟境內指定代表一名,歐盟資料保護工作小組爰建議向控制者業已指定代表之成員國監管機關為通報。
免通報事由
依據GDPR第33(1)條規定,個資侵害不會對自然人之權利和自由造成風險者,毋庸向監管機關通報。例如,該遭洩露之個人資料業經公開使用,故並未對個人資料當事人構成可能的風險。
最後必須強調的是,在某些情形下,未為通報亦可能代表既有安全維護措施之缺乏或不足。此際,監管機關將可能同時針對未為通報(監管機關)或通知(當事人),以及安全維護措施之缺乏或不足,以違反第33條或(及)34條與第32條為由,而依第83條4(a)之規定,併予裁罰。(蓋係兩獨立義務之違反)
<資訊工業策進會科技法律研究所(資策會科法所)為國內首屈一指之科技及產業政策法制智庫,研究領域包含科技研發、科技專案、生物科技、個人資料保護、資通訊、資訊安全、文化創意及智慧財產權等法制議題,詳細資訊可參閱官網https://stli.iii.org.tw/。
本文作者為李哲明研究員,長期研究並關注國內外個人資料保護與管理制度、隱私權、資訊安全趨勢、財經法制與市場脈動等相關議題。>