本文導讀

第　壹　章

GDPR 域外效力的法律基礎

第 3 條的全球適用

3條

域外效力核心

GDPR 第 3 條:不論企業設立地,只要處理歐盟居民個資皆適用

4%

最高罰金率

全球年營業額 4% 或 2,000 萬歐元(較高者)

27會員國

適用範圍

歐盟 27 會員國 + 歐洲經濟區(EEA)挪威、冰島、列支敦斯登

TYPE I

設立於歐盟

企業在歐盟有設立(子公司、分公司、辦事處),不論個資處理地點。

TYPE II

提供商品服務予歐盟

即使設立於歐盟外,只要實質提供商品或服務給歐盟居民,即適用。

TYPE III

監測歐盟居民行為

透過 Cookie、追蹤工具、分析服務監測歐盟居民網路行為,即適用。

第　貳　章

台灣企業的判別指標

五個檢核項目

第　參　章

合規架構的兩個層次

從基本到進階

最低要求

基本合規架構

• —隱私政策符合 GDPR(透明度、權利告知)
• —當事人權利處理機制(查詢、刪除、攜帶權)
• —跨境傳輸合法基礎(SCC、適足性)
• —Cookie 同意機制(積極同意,非預設勾選)
• —資料外洩 72 小時通知主管機關

進階要求

完整合規架構

• —設置 EU Representative(在歐盟內代表)
• —DPO(若處理大量或敏感個資)
• —隱私影響評估(DPIA)針對高風險處理
• —資料處理紀錄(Article 30)
• —與歐盟主管機關建立溝通管道

第　肆　章

結語 · 下一篇:資料外洩 SOP

Q.　我的網站只有繁中,但偶爾有歐盟用戶,需要管 GDPR 嗎?

A.　視「實質提供」程度。若僅是偶發性用戶,且無針對歐盟的行銷或服務設計,通常不落入 GDPR。但若有任何「主動接觸歐盟用戶」(歐盟廣告、歐盟運送、歐盟語言),即可能落入。建議:第一,實際評估歐盟業務量;第二,在使用條款中明確排除歐盟服務(若不打算服務該市場);第三,技術上可考慮 IP 限制。

Q.　GDPR 的 EU Representative 是什麼?何時需要?

A.　GDPR 第 27 條:設立於歐盟外、適用 GDPR 的企業,需在歐盟內指定代表(EU Rep)。例外:處理偶發、低風險、非特種個資。實務:許多歐盟內專業服務商提供 EU Rep 服務(月費數十至數百歐元)。建議:若實質服務歐盟,務必設置;若僅偶發接觸,可暫不設置但隨業務發展再評估。

Q.　GDPR 罰金多重?有什麼著名案例?

A.　兩級罰金:一般違反 1,000 萬歐元 / 全球營業額 2%;嚴重違反 2,000 萬歐元 / 全球營業額 4%(較高者)。著名案例:Meta 被罰 12 億歐元(歐盟資料跨境傳輸至美國)、Amazon 被罰 7.46 億歐元、Google 多次被罰共數十億歐元。台灣企業若服務歐盟需嚴肅看待。

Q.　Cookie 同意機制要怎麼做才合規?

A.　三大原則:第一,積極同意(用戶必須主動勾選,不可預設);第二,分項同意(必要 / 統計分析 / 行銷各別選項);第三,易於撤回(同意管理機制)。實務:採用認可的 Cookie Consent 平台(OneTrust、Cookiebot 等),自動處理多語言、地理區別、版本記錄。

Q.　資料外洩需要多快通知?

A.　GDPR 第 33 條:72 小時內通知主管機關(除非該外洩不致對個人權利造成風險)。第 34 條:對個人風險高的外洩,還需通知當事人。實務:建立資料外洩 SOP(發現 → 評估 → 通知 → 補救),48 小時內完成評估、72 小時內提交主管機關。本系列下一篇將深入此議題。