GDPR 對我的企業有什麼影響?
什麼是 GDPR?
通用資料保護規則(GDPR)是歐盟(EU)的法律,著重於保護所有歐盟公民及居民的資料及隱私。 GDPR規範各公司(包括GoDaddy)處理歐盟境內個人資料的方式。 GDPR於2018年5月25日生效。如需更詳細地說明什麼GDPR以及GoDaddy如何符合GDPR,請查閱我們的隱私權中心資訊。
GoDaddy 並非法律公司
我們希望這份文件能讓您大致瞭解什麼是 GDPR,以及 GDPR 可能對您造成的影響,不過,GoDaddy 並非法律顧問公司,這也並非是 GDPR 的完整說明。各公司情形有所不同,而 GDPR 也是相當複雜的法律。針對您在企業經營上所面臨的特定問題,以及 GDPR (和其他適用隱私權法律) 可能會如何影響經營等問題,我們強烈建議您向律師諮詢。
我們並非完全瞭解您企業情形的專家
雖然我們很想明確建議您如何遵守 GDPR 規範,但是從各種意圖和目的上來說都不可能,因為每個企業都有不同的經營方式、不同政策、計畫、員工、地點等等因素。因此,我們會概略講述 GoDaddy 所瞭解的 GDPR,不過法規內有一些細微的差別,我們會在本文中為您標記出來,而您需要按情形自行評估內容。
GDPR 有甚麼特點?
GDPR 和全球其他隱私權法律並無太大的差別。GDPR 之所以這麼受人矚目,乃是因為 GDPR 超出歐盟範圍,進一步規範全球各地處理歐盟境內個人資料的企業,並針對違反情事徵收很高的罰款 (最高達 2,000 萬歐元,或 4% 的全球年收入)。因此,國家越多,罰款就越高;範疇越大,就越多媒體報導。不過,這也不表示它們之間沒有差別,GDPR 確實會要求受影響的公司提供客戶特定的權利 (如「被遺忘權」和「資料可攜權」),並實施特定的企業遵守規範方法。
我的企業會受到影響嗎?
您的企業有很多可能會受到影響的理由。如果您的企業位於歐洲經濟區 (EEA) 內部,或是您跟當地的客戶有生意往來,並有販售商品或服務,請繼續閱讀本文;如果您在該地沒有業務,或是沒有在其他方面上以歐盟的個人為目標,則您很可能無須擔心 (不過,請您依然要聯絡法律顧問確認相關事宜)。
我的 GoDaddy 產品與服務有符合 GDPR 的規範嗎?
產品或服務自己是無法「符合 GDPR 規範」的。不過,這些產品或服務只要按照您特定企業的要求調整合適設定,並配合其他您的特定企業所必須施行的方法、政策及程序 (部分範例請見下文),就能符合 GDPR 規範。沒人比您更瞭解您的企業。雖然 GoDaddy 希望能為您提供工具和資源,以便協助您符合 GDPR 規範,而且我們也會為您服務,但是我們不適合用來確認您是否有遵守適用您公司的所有法律。
符合 GDPR 規範是什麼意思?
GDPR 十分注重個人資訊的隱私。長話短說,這項法規就是要確保您客戶的個人資料受到保護,並以合宜的方式使用。在描述細節之前,我們會在下文闡述一些該法律下的重要定義,以便幫助我們釐清各種和處理個人資料相關的責任:
- 資料主體:提供個人資訊的人士。指涉對象包含客戶、員工,或您的網站訪客 (如果您使用「Cookie 和類似技術」收集對方的資料,則網站訪客就符合此定義)。
- 資料控管者:決定處理個人資料的目的與方法的參與方。
- 資料處理方:代替資料控管者處理個人資料的參與方。
- 處理:針對個人資料進行之操作或操作組合 (無論是否為自動方法),如收集、紀錄、組織、構築、儲存、改編或改動、獲得、諮商、使用、以傳輸揭露、散佈或以其他方式開放存取、校準或合併、限制、消除或摧毀等。
- 個人資料GDPR 的範疇僅針對「個人資料」,即是任何可直接或間接辨識某位人士身分的資訊,尤其是查閱身分識別即可辨識該人士的資料。這個定義下的個人資料包含多種個人身分識別,包含名稱、識別號碼、位置資料或線上識別資料,顯示了科技上的變更,以及各組織如何收集人們資訊的方式。基本上,如果您能用某項資料識別使用者、客戶或任何人,那就算是個人資料。
這些定義對我有什麼影響?
在我們的合作關係內,我們有時候會擔任資料控管者 (此時我們為了向您販售產品或服務而向您收集資料,如您的姓名、地址、電子郵件、電話及信用卡資訊),而有時候我們會擔任資料處理方,而您是資料控管者 (例如您為了自己的企業而使用我們的託管服務,剛好將資訊傳送給我們,讓我們為您提供、管理並維持服務內容 (進一步資訊請見下文))。
法律上有什麼要求?
GDPR 官方版本共有 261 頁,173 條說明條款、99 條項目,而且 (跟上面說的一樣) 十分複雜,而且多半內容都比較模糊 (算我們走運)。我們只想說明幾個重要原則:
透明度
您會收集並使用哪些資料?包含 GDPR 在內,所有隱私權法律都很重視用簡單易懂且方便閱讀的方式向客戶解釋這個資訊。
我們猜想您在最近已經收到不少「我們已更新隱私權政策」的電子郵件了,對吧?這並非單純的巧合。GDPR 要求各企業提升透明度,並說明收集並使用客戶資訊的方式 (也就是對客戶更友善)。隱私權政策是讓您提供透明性的機制,您可以向客戶清楚且直白第說明您收集與使用客戶個人資料的方式,以及客戶可以如何聯絡您或行使他們被賦予的權利。
GoDaddy 提供可讓您在網站內整合隱私權政策的工具,某些情形下,我們還能提供讓您可以使用的範本。但是,因為我們不知道您經營公司的方式,因此我們無法提供您完全符合規範的隱私權政策。
客戶控制與管理同意書
如果您運作上十分透明,那就是個很好的開始,不過如果您在提供販售商品或服務必要的資料以外另有使用 (或收集) 客戶資訊,那麼您就必須確保提供客戶同意這些額外使用方式的選項,並授予客戶可以選擇在之後選擇撤銷同意的選項。
最常見的例子就是用收集來的電子郵件地址或電話號碼和客戶溝通 (我們一般會考慮加入/退出這類通訊/訂閱內容),這些資訊可能是客戶在建立帳戶或向您購買產品或服務時所提供的。不過,這也包含您透過一般稱作「Cookie」的工具 (和類似的技術,如像素、程式碼等) 向網站訪客收集的個人資訊,您在逛網站時,一定有看過所謂的「Cookie 橫幅」,就跟隱私權政策一樣,這些橫幅的目的是讓運作更透明,顯示這種 Cookie 橫幅可以讓大家更瞭解他們的資訊是用什麼工具收集,也能決定要接受或拒絕這些工具並/或用其他更精細的方式控制可接受使用的 Cookie。
GDPR 規定您必須讓客戶有權同意上述資料收集 (與之後的使用),而唯一適宜的同意方式就是您必須以易懂、清楚 (清楚描述特定使用方式) 且明確的方式向客戶呈現該同意選項。預先勾選方格、沉默或無活動不得用來表示您的客戶提出同意。舉例來說,如果您的網站上有「我們會和第三方廣告商分享您的資料」的勾選方格,則該方格不得讓系統預先勾選,並以此讓資料主體加入處理資料的名單內。直到 EEA 境內的資料主體自願加入或明確同意上述處理行為之前,勾選方格不得為勾選狀態。
最後,您需要確保您的客戶可以控制他們個人資料、通訊、同意等內容的使用方式,包含撤銷該同意的權力。
被遺忘權
我們說過 GDPR 和全球的隱私權法律十分類似,但是這一項客戶權利是 GDPR 獨有的。GDPR 向個人提供「被遺忘權」(法定的「消除權」),這表示,當初收集或以其他方式處理客戶個人資料的目的不再需要收集得來的個人資料時,他們可以要求刪除個人資料 (並因此「被遺忘」)。
當提出此權利時,您必須從系統內刪除該名資料主體的個人資料 (除非有合理商業或法律因素必須保留該資料,比方說為了您的財務報告或有法律上的留存需求)。
比方說,如果有客戶決定和您終止生意往來,就可能會希望您不要再保留之前向他收集並由您儲存的資料。雖然本權利有其限制 (還有各種例外跟複雜的細部差別),但符合情形時,您必須考慮如何達成這項要求,以及達成要求的能力。
為遵守我們在資料處理補充附件中所描述的規範,GoDaddy 會按照您 (資料控管者) 提出的要求,移除您客戶在我們系統上的資訊。
資料可攜權
資料可攜權是 GDPR 特有的權利,可讓個人使用者為自己的目的在各種服務上取得並重新使用他們的個人資料,讓他們可以輕易在各 IT 環境之間安全移動、複製或轉移個人資料,且不會影響資料的可用性。
假裝您是一位活動策劃,您的客戶曾提供聯絡資訊和相關的個人參考資料,但是對方後來搬遷,並決定雇用其他活動策劃,如果在歐洲經濟區內的話,對方應可取得個人資料的電子複本,以便輕鬆和新的活動策劃建立合作關係。GoDaddy 會在我們提供的產品或服務的範圍內協助您完成這些要求,提供這些產品或服務內含有的客戶個人資料,或將其匯出給您。
隱私設計
隱私設計 (或預設值) 基本上表示,在您獲取、處理、儲存或使用個人資料時,需考量並使用必要的保護措施;您無須進行特殊考量或進行額外程序,您只能收集最低限度的必要資料、接收資料過程必須受到保障 (如加密)、儲存位置必須十分安全,並僅限有正當理由且受過合宜訓練的人士可以進行存取。包含在傳送客戶的個人資料給第三方之前,確保對方也備有保護措施。
基本上,這就和病人看醫生一樣。您看病時都會希望醫療紀錄、注意事項、醫囑等內容安全且經過保密,將這種警覺心延伸到資料上就沒錯了。
檢視您的公司營運時,您應該將 GoDaddy 產品與服務的在隱私相關上的使用方式納入考量。雖然我們希望我們的產品和服務可以調整並符合您的特定需求,但是您可以自行決定使用我們的服務是否能讓您遵循合適資料隱私和保護相關法律規範。
資料滲透通知
如果個人資料不幸遭到滲透,各公司須負責在得知滲透後 72 小時 (或在不過度拖延的情形下) 內通知主管機關。如何進行揭露和相關步驟的詳細資訊請諮詢您的律師。
那我們該怎麼辦?
如先前所述,多半情形下 GoDaddy 都是您的資料控管者。我們會只為提供您向我們購買的服務所必要的範圍內 (或按照其他指示) 代替您處理資料。您會使用我們的服務收集資料,以便販售貨品,或收集預約資訊或潛在客戶名單嗎?沒問題。我們會確保這些資料會代替您以安全的方式進行處理。
身為資料控管者,您可以控管資料的使用方式及儲存方式,我們只會按照我們資料處理附錄,代表您提供及維護服務。這表示您需要特別注意您的內部政策以及員工存取記錄的方式,包括您與第三方分享資料的方式,以及其他人存取資料主體資訊的難易程度。
正如上文要點所述,GDPR (與其他隱私權法律) 的目的便是確保我們為發展企業而收集與使用的資料可以合乎適宜的安全標準,並受到保護。