當GDPR適用於域外時應如何應對?解說對應方法
GDPR(一般資料保護規則)是歐盟所制定的個人資料保護及其處理規範。若您在歐盟境內推展商品或服務,可能需要遵守GDPR。然而,許多人可能不確定自己的公司是否適用GDPR,或者在適用的情況下應如何應對。
本文將解說GDPR的適用範圍、在適用時應採取的行動,以及所需的相應措施。文章中也包含了有關GDPR適用的問答,敬請參考。
GDPR適用範圍
GDPR適用的條件在GDPR第3條「地理適用範圍」中有所規定。GDPR的適用範圍分為兩種情況:一是在歐盟境內有設立據點的情況,二是沒有設立據點的情況。
在歐盟境內有設立據點的情況下,適用的規定如下:
「無論個人資料的處理是否在歐盟境內進行,只要是在歐盟境內的管理者或處理者的據點活動過程中進行的個人資料處理,都適用GDPR」
參考:個人資訊保護委員會|「一般資料保護規則(GDPR)日文暫譯版[ja]」
換句話說,只要在歐盟境內有管理者或處理者的據點,就適用GDPR。
管理者 | 決定個人資料處理目的及手段的人 |
處理者 | 代表管理者進行個人資料處理的人 |
在歐盟境內沒有設立據點的情況下,適用範圍包括以下兩點:
- 向歐盟境內的個人提供商品或服務的情況
- 監測歐盟境內個人的行為的情況
GDPR對於境外國家施加嚴格限制,要自由進行資料轉移,必須獲得「充分性認定」。充分性認定是經過歐洲委員會協商後決定的認證,授予那些確保有充分個人資料保護水準的國家或地區。
未獲得充分性認定的國家或地區,必須進行SCC或BCR等程序,才能將資料轉移到歐盟境外。
SCC(標準合約條款) | 資訊轉移合約中必須包含的必要條款 |
BCR(約束性企業規範) | 從歐洲經濟區(EEA)獲得的個人資料保護政策,以及分享至EEA境外相關公司時的規則 |
獲得充分性認定後,就無需進行SCC或BCR等程序。
針對日本的充分性認定,在2018年7月的日歐定期首腦協商中宣布,將推進使個人資料轉移框架可操作的措施。隨後,在2019年1月23日獲得充分性認定,並發布了「歡迎歐盟和日本就個人資料保護水準相互認定為等同的決定」的聲明。
適用歐盟一般資料保護規範(GDPR)的企業必須執行哪些事項
若企業適用歐盟一般資料保護規範(GDPR),則必須執行以下兩項事務:
- 選任歐盟/英國境內的代理人
- 在隱私政策中明確說明
以下將詳細解說每項要求。
選任歐盟/英國境內的代理人
根據歐盟一般資料保護規範(GDPR)第27條,若GDPR適用於境外企業,則該企業有義務在歐盟或英國指定一名代理人。
所謂的代理人,是指由資料控管者或資料處理者以書面形式指定,代表其履行GDPR下的義務。
並非所有在歐盟境內經營的企業都必須指定代理人。以下情況的企業則無需選任代理人(根據GDPR第27條):
- 若GDPR適用的業務非一時性,且不大量處理「特殊類型的資料」或「有罪判決及犯罪行為相關的個人資料」,考量處理的性質、過程、範圍及目的,對自然人的權利或自由造成危險的可能性較低
- 非公共機關或公共組織
參考資料:日本個人資訊保護委員會|「一般資料保護規範(GDPR)暫定日文譯本[ja]」
隱私政策中的明確說明
適用歐盟一般資料保護規範(GDPR)的企業,必須在其隱私政策中明確指出已選任代理人。
未選任代理人之處罰規定
即便處於GDPR的適用範圍內,若未選任代理人,則需留意可能會受到處罰。根據GDPR第84條第4項的規定,罰款金額將達到最高1,000歐元或全球總銷售額2%以下的較高者。
代理人所需執行的業務
當適用GDPR範圍時,原則上必須指定一名代理人。那麼,代理人所需執行的業務有哪些呢?本文將詳細解說代理人的業務。
第30條的記錄處理
在歐盟各國設有代理人的管理者或處理者,必須與代理人共享自己的處理記錄。同時,代理人也必須像管理者或處理者一樣保管這些記錄(GDPR第30條)。
必須記錄的內容包括以下幾點:
- 管理者、DPO(資料保護官)等的姓名及聯絡方式
- 處理資料的目的
- 資料主體的特性及處理資料的類型
- 保存期限
- 刪除時間
資料主體是指被識別或可識別的自然人,即個人資料相關的個人。
若監督機構提出要求,則必須能夠使用這些處理記錄。
回應資料主體或監督機構的詢問
當資料主體或監督機構提出詢問時,代理人需要代替管理者或處理者回應資料主體或監督機構(GDPR第27條第3項)。例如,當資料主體提出要求時,管理者必須在一個月內提供資訊(GDPR第12條第3項)。此外,代理人需要回應監督機構的要求,並與監督機構合作(GDPR第31條)。
GDPR適用相關問答
針對常見的GDPR適用疑問,本所將在下面提供答案。
即使沒有計劃海外擴張,是否仍需遵守GDPR?
基本上,如果沒有計劃進行海外擴張,那麼通常不需要遵守歐盟通用數據保護條例(GDPR)。然而,即使沒有海外業務,如果存在從歐盟境內個人那裡獲取數據的可能性,則需要特別注意。
例如,可能會遇到以下情況:
- 經營電子商務網站,並且收到來自歐盟境內個人的詢問或訂單
- 通過網站瀏覽,獲取了歐盟境內個人的在線識別信息(如IP地址或Cookie等)
- 回覆來自歐盟境內個人的詢問時,獲取了其電子郵件地址
即使無意中獲取了歐盟境內的個人數據,如果不屬於地理適用範圍,那麼不遵守GDPR也不會有問題。
請記住,只有在以下兩種情況下,無論是否在歐盟境內有業務據點,都需要遵守GDPR:
- 向歐盟境內的個人提供商品或服務的情況
- 監控歐盟境內個人的行為的情況
在啟動針對歐盟(EU)域內的跨境電商網站時,需要採取哪些必要措施?
當您打算啟動一個涵蓋歐盟(EU)域內市場的跨境電子商務網站時,您可能會收集到歐盟內的個人資料。這些資料可能包括:
- 姓名
- 電子郵件地址
- 住址
- 信用卡資訊
- 購買資訊
- 位置資訊
- IP地址・Cookie ID
在收集這些資訊時,由於它們屬於GDPR所定義的個人數據範疇,您必須按照GDPR的規定來處理這些資料。
首先,您應該審查並更新符合GDPR的隱私政策,並修訂及公布隱私通知。
相關文章:解析創建符合GDPR隱私政策的要點![ja]
接著,您應該按照以下步驟進行:
- 建立Cookie政策,並在電商網站首次訪客訪問時獲取對使用Cookie的同意
- 在收集個人資料時,獲得對「個人數據處理」的同意
- 為了保護個人數據並預防資料洩露,實施安全措施
- 選任代理人
此外,根據需要,您應該審查公司內部規則,創建符合GDPR的操作手冊,並重新審視與外包供應商的合約內容。
GDPR與英國GDPR有何不同?
英國GDPR是指英國的一般資料保護規範。隨著英國脫離歐盟,英國GDPR於2021年1月1日(西元2021年)開始實施。GDPR是歐盟的規範,在英國則不適用。
英國GDPR適用於以下情況:
- 向英國境內的個人提供商品或服務時
- 監控英國境內個人的行為時
若在英國及歐盟境內開展業務,則需要同時遵守GDPR和英國GDPR的規定。
總結:若您在GDPR適用範圍上有疑問,請諮詢專家
若您的企業在歐盟(EU)境內有設立據點,或即使沒有據點但是「向歐盟境內的個人提供商品或服務」或「監控個人行為」,則您的企業將適用於GDPR的規範範圍。必須在歐盟內指定一名代理人,並且在隱私政策中明確說明此事。
若未指定代理人,您可能需要支付高額的罰款。正在或計劃進入歐盟市場經營的企業應該指定代理人,以符合GDPR的要求。
如果您不確定您的公司是否適用GDPR,建議您諮詢精通國際法務的專家。
本所提供的對策介紹
Monolith法律事務所是一家在IT領域,特別是互聯網和法律方面擁有豐富經驗的法律事務所。近年來,隨著全球商業的不斷擴大,專業的法律審查需求也日益增加。本所事務所提供國際法務相關的解決方案。
Monolith法律事務所的業務範圍:國際法務・海外事業[ja]