歐盟個人資料保護法規GDPR對電子商務的規範

 歐盟個人資料保護法規GDPR對電子商務的規範

大綱：

1) 總覽

2) 數據/資料 收集

3) 數據/資料 存儲

 

總覽：

 

什麼是歐盟個人資料保護法規 (GDPR)？

基本資料保護法規 (GDPR) 是歐盟於2016年通過的法律，旨在為歐盟公民提供更強大的數據管控，如數據收集、存儲以及再應用，同樣的，GDPR也為提供企業商家更清晰的法律架構。

 

為什麼我要關心GDPR？

2018年5月25日開始時，違反GDPR相關法律規定的行為，可能導致相關單位被裁罰 (200萬歐元或營業額4%的收入)，並依法處理因個人數據規法所提起的相關訴訟。

 

GDPR 適用於我嗎？

GDPR適用於任何收集歐盟公民的個人數據或行為的組織，這一廣泛的定義意味著任何擁有歐盟客戶或其他用戶數據的公司都將受到此法律的影響，除了直接性地的數據收集之外 (如客戶註冊資訊)，還需注意對於您網站上所使用的第三方或自定義的跟蹤及分析軟體 (相對性地)，也是必須由您負責相關的合法性。

GDPR對於超過250名員工的公司有額外的要求，但就本文而言，我們將針對少於250名員工的中小型企業去進行說明。

 

我需要知道什麼？

與任何法律事務一樣，向專業人員諮詢 GDPR 將如何適用於您的商業營運細節是非常重要的。以下是 GDPR 的關鍵準則，用於理解與遵守新規定。

 

GDPR 的定義：

GDPR 對於其架構區分出了三部分：

 

1. 數據主題：客戶、管理者、或任何提供數據的他人 (包含內部員工)。
2. 數據控制：為其營運所收集信息及負責安全處理與使用數據的企業，例如：電子商務網站通常在此分類之中。
3. 數據處理器：任何儲存用戶數據的第三方數據控制平台或服務，從電子商務角度而言，這可能涵蓋提供商的全面服務，如平台本身、金物流、或Google分析等。

 

 

 

數據收集：

 

廣泛的數據皆屬於 GDPR 規範下，以用於數據收集同意及保護。任何 個人或行為資訊皆屬於新法規內之定義，這意味著除了銀行帳戶、地址等的個人資訊之外，像是IP、MAC地址 (裝置位置)、照片和社群網站上的貼文也將受到 GDPR 規範中的約束。

 

對於 GDPR 的數據收集要求感到難以負荷之前，值得注意的是一個叫 “合法利益” 的概念，允許控制者 (如網站) 在因提供服務時而收集對於用戶 (如客戶) 所同意提供的重要資訊，比方說，收集姓名、地址及信用卡號碼是必要的，且用於驗證客戶身份及處理用戶自願輸入至合約中的付款資訊。合法利益是與下方所概述的 “同意書” 是分開的。簡而言之，您不需要因此而推翻您原本的營運方式。

 

取得清楚明示的同意書：

符合 GDPR 的數據收集的根本原則為取得用戶的明確同意，用戶必須了解您為何使用及使用什麼方式去取得每一項數據，並且將該同意訊息 “主動” 提供給用戶。舉例一個電子商務網站幾乎每個人都能理解的例子，在行銷上我們經常使用電子郵件寄送，而在 GDPR 的約束下，用戶必須清楚地了解網站將如何使用該電子郵箱的資訊，更重要的是，用戶必須是主動地去加入或勾選該同意欄位，但是！若是在預設勾選的同意欄位或隱藏在連結內的使用同意書，是不會被GDPR內第4.11條中所提及的同意證明所認同：

      GDPR內第4.11條寫到…..預設打勾的選項或任何非用戶主動操作的行為皆無法構成法律上的同意證明。

 

此外，同意書不可為 “組合式” 的，這意味著用戶必須擁有權利去選擇加入或退出部分數據的使用，而不會因不同意授權數據則失去其他資訊的使用權力，相同的，一個”全選”或”全不選”的複選框是不可被GDPR接受的。

                  預先打勾且不清楚的 “選項” 將於5月25日後視為無效力的。

(不被GDPR所同意的情況 – 預先勾選同意)

 

以下為提供用戶們一個是否加入以及加入後的定義已明確註明的良好例子，但是，綁定不同行銷管道 (簡訊、電話、以及模糊的 “其他電子手段” ) 的行為已經違反 GDPR 之規定。

(不被GDPR所同意的情況 – 組合式的使用條款)

 

最後，控制者 (網站) 必須能夠提出用戶主動同意授權數據的記錄，對於不同的企業而言，在實踐方式上將會有所差異，但請確保你已經準備好隨時提供相關信息。

 

系統中的Cookie：

歐盟已制定了與系統中的Cookie的相關法律，但若您位於歐盟以外的國家，且剛開始熟悉相關法律時時，請注意Cookies皆需符合 GDPR 及現有法規。

 

收集有限的數據：

若您沒有要使用您向用戶們所收集的資訊，請停止要求用戶將其訊息提供給您。舉例來說，有許多網路表單中包含 “公司” 欄位，且取得此資訊並非實際用於商業或市場行銷的目的，所以該資訊其實是不被需要的，請仔細審查您的表單格式，看看是否可以移除不必要的欄位以降低您暴露在 GDPR 規範下的風險。

 

數據儲存：

安全儲存：

GDPR 旨在確保歐盟公民的個人資訊不僅是自願提供的，並且該資訊是被安全儲存的。在跨境電子商務世界中最棘手的規則之一是要求所有數據都儲存於歐盟中的伺服器內。不論是雲端託管服務，或具有自行託管及服務的網站應對數據資訊的儲存進行相關審查，以確保符合 GDPR 法規 (請參閱下方第三方數據處理)。

 

用戶數據：將它設為可取得、編輯及刪除的

GDPR 要求數據用戶們可聯繫數據處理者 (網站) 並要求他們的個人資料被：

1. 可編輯的 – 您的網站必須提供一份合約或處理用戶數據更新或更改的要求
2. 可取得的 – 當用戶要求時，您必須有辦法提供所有您針對用戶們儲存的資訊 (GDPR尚未提供具體的格式)
3. 可刪除的 – 用戶擁有提出永久刪除他們的個人資訊的權利。作為依據 GDPR 歸法下所營運的企業，您需要提供一個公開的聯絡方式或機制以供用戶們申請或執行刪除與他們的個人資訊有關之數據。  

 

需注意的是您必須明確的告知用戶們他們擁有上述三點的權益，用以讓用戶們明白他們有權撤銷、編輯或刪除數據。請注意，您有責任將用戶所提出的需求傳遞給擁有該用戶資訊的第三方單位。

 

第三方數據處理者

 

大多數的大型託管解決方案及分析軟體公司應採取自己的方式來遵守 GDPR，最常用的電子商務及行銷平台皆有自己關於其符合 GDPR 的陳述，請確實研究您使用的特定服務以及思考您是否需要在每個應用程序中採取主動的措施。若您有任何無法解答的問題，請務必直接與他們聯繫。例如：

Google (致力遵守)

Shopify (於2018年五月開始致力遵守)

Mailchimp (為行銷人員提供相關工具以保持合規)

Constant Contact (有希望遵守)

 

延伸閱讀

每個人都需了解 GDPR 的適用性及該如何在不損害您的行銷及生意上聰明的運用至您的企業中。以下所提供的連結包括官方文件和聲明，以及更深入的瞭解企業該如何在實踐中遵守相關規範。最終，GDPR 合規對於用戶們而言是一個重要的信任因素，因此，您一定要讓用戶們知道您如何保護他們的隱私！

 

歐盟 & GDPR 頁面：

• GDPR 官網：https://www.gdpreu.org

• 來自歐盟法院有益合規的概覽：http://ec.europa.eu/justice/smedataprotect/index_en.htm

 

 

電子商務平台的直接聲明：

Magento

Shopify

Woocommerce

Wix

AWS

 

針對電子商務、行銷及設計的深度實踐：

• 於實踐中深度理解電子郵件行銷的許可：
  • https://www.zettasphere.com/gdpr-consent-opt-in-examples/
• 由合規官員 (英國) 所提出與允許 vs. 合法利益的相關文章：
  • https://dma.org.uk/article/gdpr-consent-or-legitimate-interest-email-marketers-need-both
• 深度探討合規與不合規的 UX 告知許可書的例子：
  • https://www.econsultancy.com/blog/69253-gdpr-10-examples-of-best-practice-ux-for-obtaining-marketing-consent

 

以上為歐斯瑞為企業、商家所研究並分享的最新的歐盟GDPR相關資訊，若有其他無法解答、說明GDPR的問題，或對於GDPR條款本身還有更多深入探討的需求，請尋找專業的相關法律事務所，以確保你的利益不會受到損害。