通用资料保护规则
欧盟 (EU)会员国原本各自为政的个资处理法规,随着《通用资料保护规则》即将上路,及其整并强化之立法目的,会员国全数一体适用新版规则,以建构欧盟一致保护框架。
目前 28 个会员国各自订立个资法规,法之效力拓及国际贸易。不过正因如此,行使个资保护的权利更显绑手绑脚、窒碍难行。
《通用资料保护规则》影响效力无远弗届,各种企业不管规模大小、产业类别,皆有所牵连。而不同业务如何遵守本规则、合理使用客户个资,亦有不同因应处理方式。
2016年,欧洲议会、欧洲高峰会通过第 2016/679 号法案(GDPR),将于 2018 年 5 月 25 日生效施行。新版规则保护自然人的个资,侧重资料处理与自由流通。本文将协助各位了解何谓 GDPR、所应履行之职责、不可触犯的层面。另外,我们也向您保证,Benchmark 邮件行销工具严格遵循《通用资料保护规则》。
新版规则绝非取代欧盟会员国现有法令,而是同步整合各国个资法与 GDPR。会员国仍可依照国内相关规范做出判决,不过,要注意的是,责任方必须参照《通用资料保护规则》做为判决主要依据,而不是各国本身的个资法规。
若您目前符合所在国/地区的个资法令,那么您已打下稳固基础。不过,您仍需修正某些层面以便符合新版规则的规定。
规划营销邮件策略时,三大重点请谨记于心:用户同意、查阅使用、个资搜集。
用户同意
根据《通用资料保护规则》第四条第11款,个资当事人所谓的「同意」指的是,透过任何无偿提供的声明、具体明确的同意行为,清楚表达当事人同意他人处理与他/她有关的通用资料;
如前述定义所言,用户的同意需明确、清楚。这两个词消除了任何不确定或含煳不清的界线。
第32条:当事人以明确的肯定行为表达同意,透过任何无偿提供的声明、具体明确的同意行为,清楚表达当事人同意对方处理与他/她有关的通用资料,例如:书面声明(电子方式或口头陈述),包括浏览网站时勾选同意选项、为资讯社会服务(网络影音服务)进行技术设定、其他陈述或行为清楚地表明当事人接受他人对他/她的个资处理。
用户未应答、不作为或事先替用户勾好同意选项皆不可视为同意。所谓同意指的是同意他人以单一(多重)同等目的处理所有通用资料。当个资处理牵涉不同目的时,每一项都应取得当事人同意。若他人以电子方式向当事人提出同意请求,该请求必须清楚、简洁、而且不会造成个资处理不必要的负面影响。
举例:
我最近参加一场贸易展览,因而在会展上搜集了不少名片,我准备将这些名片键入资料库并上传到我的 Benchmark 帐户,为的是发送电子报。
有了新版规定,我这样做合法吗?
答案是否定的。即便取得每通用的口头确认,会展上拓展人脉不代表您有权使用他们的个资。 GDPR 要求取得双方达成协议的证据。
GDPR 指出,万一需要审查,责任方必须提出用户清楚明确的同意声明,也就是拿出证据证实用户同意他人使用自己的个资。
建议改善作法:
⦁ 审视您搜集个资的方法,消除当中含糊不清的方式。
⦁ 分析您的资料库,只保留用户同意您使用他们个资的证明。
查阅使用
处理个资的责任方需提供每位用户简单明了的处理管道,用来修改自己的通用资料;另需提供确认管道,让用户透过电子方式(例如:网站、订阅表格、电邮确认)同意他人使用个资。
责任方将有一个月的时间取得用户同意。若是複杂的请求(因为要完成用户要求的必要步骤导致),可延长至两个月。
在我们的电子邮件行销工具中,「管理订阅」选项允许用户线上他们的个资,并在需要时进行修改或直接取消订阅。
关于这点,《通用资料保护规则》第17条详述新订权利「删除的权利」,用户可行使「被遗忘权」,永久将其个资从资料库中删除。本文摘述该条文第一项第一款、第四款,提供用户行使「被遗忘权」的原因:
a)通用资料搜集、处理之特定目的消失,得向责任方请求删除通用资料;
b)通用资料已遭非法滥用:;
个资搜集:
《通用资料保护规则》主张简化个资搜集。身为营销人员,我们要求太多非必要的个资细节,但其实只是为了寄送每周电子报。因此,GDPR 规定大家精简搜集用户个资,而不是搜集多余资讯作为日后其他用途。
若您想通知用户即将到来的促销活动,搜集用户姓名和电邮地址便已绰绰有余,足以达到您的目标。
英国将于 2019 年正式退出欧盟,GDPR 无法对英国有所约束力。我们目前不知道英国或其境内的公司将如何处理个资保护,但我们相信英国将会通过类似法规,与欧盟的 GDPR 具有同等效力。
若不符合新版 GDPR 要求,会有何下场?
《通用资料保护规则》制定一套处罚条款,包括处分与罚锾。未能遵守新的规则,经过一番审慎评估才会判处罚锾,以下为判决要素:
⦁ 违法的严重性/违法行为持续时间;
⦁ 受害的用户人数及受损程度;
⦁ 故意侵权与否;
⦁ 为减轻损害而采取的行动;
⦁ 是否配合主管机关。
新版规则针对未遵守规定的责任方,制定两类罚锾上线。第一类为 1000 万欧元以下的罚锾,或是担保上限等同全球年营业额的2%。
假设负责人不愿按照新版规则的要求进行影响评估,则适用第一类罚锾,罚锾上限可高达 2000 万欧元或是全球年营业额的 4%。
根据新版规则,一旦侵犯当事人的权利,将依每则个案情况,裁处不同罚锾。
当您策划邮件营销策略时,请牢记上述要点(用户同意、查阅使用、个资搜集)。
Benchmark
和《欧盟-美国隐私护盾》以及《瑞士-美国隐私护盾》的作法不同的是, GDPR 未提供认证,证实 Benchmark 遵守其最新规则,但我们仍然不断更新我们的隐私权政策,严格遵守其相关规定。
Benchmark 再次向您保证我们会严格遵守《通用资料保护规则》处理您的通用资料。
为了协助您适应法令转变,Benchmark将于欧洲中部夏令时间 2018 年 4 月 11 日上午 11 点(中国当地时间为 2018 年 4 月 11 日下午 17 点)举办网络研讨会「GDPR规范下的邮件营销:什么该做、什么不该做」。关于 GDPR 详细资讯,请参照欧盟官网的相关文件。
欧盟首次在个资处理议题上,展现领导力和团结一致的态度。另外,他国若想处理欧洲通用资料,欧盟亦强制要求他国遵循《通用资料保护规则》。
欢迎与大家分享本文,别忘了留下宝贵意见。谢谢您的耐心阅读!