GDPR規範主體大致可以分成資料提供者(數據主體，Data Subject)、管理者(Controller)、利用數據做為運算者(Processor)。整體來說，相較過去的歐盟個資保護指令，由於GDPR更為系統、明確地規範針對歐洲地區數據主體的使用，需要使用大量識別資料的相關產業，如: 金融、航空運輸、電商，將為因應法規而有系統升級的成本壓力，預計相關成本可能在350萬-1000萬美元之間。 另外針對法規適用性，例如認定的有效時點、後續管理者的處理、以及責任歸屬等問題，仍然有待諸多個案後續的判定；但可以肯定的是，GDPR帶來的影響將會觸及全球，影響層面將包括資訊產業、新技術的發展。

1. 從案例看GDPR的影響
台大財金四 謝旻陽、台大財金四 林凡軒、台大財金四 廖芳妤、台大經濟三 王映筑、輔大金融三 李馨
2018/10/13 1

2. 結論
2
● GDPR上路後，各國要遵守的規則更明確統一，數據主體的權利更被保障。
● GDPR對目的與同意自由的限制，限縮企業對用戶資料的掌控度。
● 為符合GDPR法規所耗之成本將提高，新創公司相較大型公司在法規上路後，恐面臨更嚴
苛的環境。
● 特殊資料的嚴格控管恐影響生物辨識系統的發展，同時在應用端也可能造成消費者使用的
不便性，降低使用者的使用意願。
● GDPR使需處理大量個人識別資訊產業受波及，如：網路零售、金融、航空運輸業。

3. GDPR簡介
個案探討
其他影響
GDPR之跨國問題處理
附錄
報告架構
3

4. 01GDPR簡介
4

5. #1GDPR發展
5

6. 歐盟一般資料保護法規（General Data Protection
Regulation，簡稱GDPR）的出現，是為了要取代歐盟
在1995年推出的歐盟個人資料保護指令。
在科技持續發展的今日，舊有的法規已無法因應新興的
科技輿論風險，調整相關法規將可以使企業或組織實施
適切的安全性措施，保障歐盟民眾的資料安全性。
在原本的指令中，僅對個資做原則的表彰，仍需仰賴各
歐盟會員國將其具體化為條文，這樣可能會出現名詞解
釋、程序、罰則等不一致的狀況。GDPR的出現將可以
使各國的規定統一。
6
引言—GDPR的由來
資料來源：科技創業法律誌

7. 7
GDPR的前身—歐盟個資保護指令
保護歐盟民眾的隱私
第一部解決關於個人資料處理與自由流通保護之指令，主要在於提供歐盟境內
關於個人資料及隱私權保護之規定。
生效時間 1995年制定，1998年生效
實施方法 該指令並不直接適用於歐盟會員國， 而是由會員國依據該指令之規範訂定國內法
律實施。
資料來源：資策會科技法律研究所

8. 8
保護歐盟民眾的隱私 歐盟公民享有資料刪除、更改、轉移的權利，且企業需保護用戶個資
生效時間 2016制定，2018年生效
影響範圍 所有控制或處理歐盟民眾個人資料的公司，無論公司位於哪一個國家或地區。
只要符合下列條件，就必須適用 GDPR：
-客戶有歐盟公民
-雇用歐盟公民員工
-與歐盟供應商合作
-非營利組織與政府也適用
GDPR—歐盟一般資料保護法規
資料來源：蘋果仁科技新報

9. 9
統一數據保護規範並提升數據主體權力
歐盟個資保護指令 歐盟一般資料保護法規
實施方法 由各國自行訂定相關法律 統一規則適用歐盟各國
核心原則
確保了歐盟會員國個人資料基本
權利之保障
在保護指令基本架構下，加強個
人資料的保護
特點
由會員國各自訂定
需經會員國國內轉換法程序
使用較繁雜
統一規則
個資使用限制變多
更加強數據主體權利
企業取得個人資訊更不易
資料來源：歐盟一般資料保護規章GDPR簡介報告

10. 10
GDPR的法規管理
歐盟資料保護委員會
歐盟將成立統一之「歐盟資料保護委員會」，藉由發佈意見、準則 、建議等，維持歐盟地區資料
保護制度之跨國一致性。
獨立監管機關
各會員國都要設立一個獨立監管機關，監控GDPR的落實。並維持法規適用的一致性。監管內容
包括：GDPR落實、提升公眾意識、提出立法行政建議、接受申訴、進行主動調查等。
資料來源：財團法人金融聯合徵信中心報告

11. #2GDPR規範內容
11

12. 12資料來源：Intersoft consulting、財團法人金融聯合徵信中心《歐盟個人資料保護規則》
Data Subject（數據主體） 客戶、使用者
Controller 管理數據主體在此網站所留下的數據
Processor 利用此數據進行運算、推廣等
GDPR中「個資」之範疇
所有能夠以任何方式連結至個人的資料皆屬於個資範圍，包含工時紀錄、考生作答紀錄，及主觀資訊（如意見、決
策、估量等）。資料所連結之數據主體，以自然人為限。
比較——歐盟個資保護指令：「個人資料」係指有關識別或可得識別自然人(「資料主體」) 之任何資訊；可得識別自然人係指得以直接或間接地識
別該自然人，特別是參考諸如姓名、身分證統一編號、位置資料、網路識別碼或一個或多個該自然人之身體、生理、基因、心理、 經濟、文化或
社會認同等具體因素之識別工具。
名詞定義

13. 13資料來源：科技新報「史上最嚴苛 GDPR 來襲，莫急莫慌莫害怕」
• 正確性：個人資料必須確保正確無誤，如果出現不正確的個人資料，應訂立合理措施以立即刪除
或修改。
• 公開透明性：必須以「合法」、「公平」、「透明」的手段來蒐集、處理個人資料。
• 目的性：蒐集個資時必須有明確且合法的目的。
• 儲存限制性：不得逾越處理個資目的的必要範圍，並在資料儲存期間做合理保管。
• 機密性：以資安手段確保個人資料不被破壞或散布。
• 最低性：在最低限度內蒐集、使用個人資料。
規範個資使用的六大原則

14. 14資料來源：Intersoft Consulting、財團法人金融聯合徵信中心《歐盟個人資料保護規則》
● 被通知的權利
當資料直接從數據主體中被取得時，數據主體必須馬上被通知；若為間接取得，其需在至少一個月內被通知。
比較——歐盟個資保護指令：當事人應受告知關於個人資料處理之風險、規則、保護措施及權利，以及關於處理之權利如何行使。
● 被遺忘的權利
若有以下情形者，個人資料必須即刻被清除：
(1) 資料儲存的目的已消滅
(2) 數據主體已取消資料使用之同意
(3) 依歐盟法律或會員國之權利所指示
比較——歐盟個資保護指令：資料主體應有權接近使用其個人資料及向控管者請求更正或刪除或限制處理與資料主體相關個人資料之權利。
● 同意
數據主體必須在自由的情況下給予同意，且同意之條文必須明確、清楚的告知數據主體。
※電郵行銷係企業拓展潛在客戶之一種形式，故不受同意之限制
數據主體對數據的掌握度提升

15. 15資料來源：Intersoft Consulting、財團法人金融聯合徵信中心《歐盟個人資料保護規則》
● 資料保護長
若一企業之核心業務涉及使用機敏個資，乃至於有影響數據主體權利之可能，其必須設立資料保護長。
比較——歐盟個資保護指令：會員國應規定控管者指定資料保護員。
● 加密
GDPR給予controller一系列之衡量標準，以選擇適當的加密方式處理個人資料。
比較——歐盟個資保護指令：為維持安全性與預防資料處理違反本指令，控管者或處理者應評估與處理相關之風險，並執行相關措施以降
低風險，例如加密。
● 資料處理
Processor處理資料之範圍與形式，以controller的指示為限，不可以在未經相關人員授權之情況下，透過其
他的processor取得指示外之資料。
對企業的規範及義務

16. 16資料來源：Intersoft consulting、財團法人金融聯合徵信中心《歐盟個人資料保護規則》
● Data Protection Impact Assessment（DPIA）
若資料之處理可能有危害自然人之權利與自由之餘，則必須實行DPIA。
● 資料傳輸
除資料傳輸必須合法外，controller亦需以其他形式確保資料傳輸之收受者會充分的保護其接收之資料。
此「其他形式」，可以標準合約條款實現。
比較——歐盟個資保護指令：會員國應規定，主管機關移轉任何經處理或於移轉至第三國或國際組織後將欲處理之個人資料，包括進一步
移轉至第三國或國際組織者，須遵守依據本指令其他規定通過之國家規定。
● 罰則
情節嚴重者將罰以二千萬歐元或全球營業額之百分之四，採價高者計算；
情節較輕者，將罰以一千萬歐元或全球營業額之百分之二，採價高者計算
對企業的規範及義務

17. #3GDPR上路前各家企業的舉措
17

18. 18資料來源：Facebook官網＆Google官網
● 讓使用者選擇揭露或者接收何種資訊的權利
● 讓使用者更容易去編輯或刪除自身資訊
● 限制青少年廣告投放種類，並且限制青少年臉部辨識資料取得
● 將 API 權限改得更嚴格、同時也減少搜尋欄的功能（電話跟郵件已無法用來搜尋使用者資料）
● 為規避監管，從五月起，Facebook 將 15 億非洲、亞洲、澳洲、南美洲用戶服務條款主體改為美
國公司，也就是將所有可移出歐盟管轄權的用戶挪至美國法律下。
● Google 早先即使用「差分隱私 Differential Privacy」技術（是密碼學中的一種手段）：提供一種
當從統計資料庫查詢時，最大化資料查詢的準確性，同時最大限度減少識別其記錄的機會。
● Google 相關分析工具也有許多隱藏起來的資料與功能，避免分析工具的使用者過於容易判斷使用
者的痕跡。
GDPR上路前各家企業的應對措施

19. 19資料來源：Apple官網＆Amazon官網
GDPR上路前各家企業的應對措施
● 資訊所有者為使用者：Apple搜集使用者資訊並不以營利為目的，傳送給廣告商。
● Apple Pay安全性高：並不會有購買歷史紀錄，保護信用卡在單一裝置的安全性。
● 差分隱私技術：協助使用者體驗提升，並不會將資訊作為其他用途。
● 其他Apps遵循規範：若有應用程式不符合規範，將由使用者再次確認個資權限。
● 為客戶提供關閉現在用於“建議”產品的數據跟踪功能的選項。
● 宣布遵守CISPE行為準則：使他們能夠在使用AWS等服務時，在安全且合法的環境中控制個人數據。
● AWS服務安全措施，以便遵守GDPR，包括以下具體措施：
● 1.加密個人數據
● 2.能夠確保處理系統和服務的持續機密性，完整性，可用性和彈性
● 3.能夠在發生物理或技術事件時及時恢復可用性和訪問個人數據
● 4.定期測試，評估和評估技術和組織措施的有效性以確保處理安全的過程

20. 02 個案探討
20

21. #1企業的用戶資料掌控權被限縮
21

22. 22資料來源：noyb、新聞彙整
強迫取得之同意無效
● 提告方：noyb
● 被告方：Google(Android)、Istagram、WhatsApp、Facebook
● 受理單位：CNIL (France)、DPA (Belgium)、HmbBfDI (Hamburg)、DSB (Austria)
● 控訴內容：
GDPR要求提供使用者自由選擇是否同意廠商使用其資料。但是許多使用者往往被威
脅若不同意就無法使用其服務。
noyb以強迫同意為由控告Google (Android)、臉書、WhatsApp及Instagram。
根據GDPR的罰則，違反者最高可處罰全球營收的4%。因此Google最高可能被罰37
億歐元（約1290億台幣），而臉書三項產品各可能被罰13億，共39億歐元（約1360
億台幣）。

23. 23資料來源：ICO notice
資料不得用於指定用途外
● 提告方：Information Commissioner’s Office(ICO)
● 被告方：AggregateIQ(AIQ)
● 控訴內容：
ICO認為AIQ資料用途已與原先聲明的「非營利用途」相異，並且AIQ在未告知消費
者的情況下，收集用戶資料並分享給其他公司，違反了GDPR「在資料主體不知情的
情況下，將資料用於沒有意料到的用途上」。
在AIQ方面，也主張公司收集資料時間點位於GPDR生效之前，應不會受到牽連，但
ICO認為在法規生效之後，AIQ仍保有搜集來的數據資料，應可受GPDR管制。

24. 24資料來源：GDPR官網
GDPR將限縮企業對用戶資料的掌控度
同意自由
(Article 4-11)
蒐集目的須特定、明確及合法，且不得為該等目的以外之進階處理；依照第89條第1項
規定，為達成公共利益之目的、科學或歷史研究目的或統計目的所為之進階處理，不應
視為不符合原始目的
目的限制
(Article 5-1(b))
資料主體之「同意」係指資料主體基於其意思，透過聲明或明確肯定之行動，所為自主
性、具體、知情及明確之表示同意處理與其有關之個人資料

25. #2生物辨識資訊使用遭限制
25

26. 26資料來源：IPVM官網
IPVM使用的生物識別資訊並未取得特殊同意
● 提告方：IPVM
● 被告方：IFSEC(英國國際安全科技展)母公司-UBM
● 受理單位：Information Commissioner’s Office(ICO)
● 控訴內容：
生物識別處理被認為是“特殊類別的個人數據”，並且除了重要的例外情況外通
常被禁止。
其中一個例外 (適用於IFSEC的例外)是指定用途的知情同意，如果符合以下條件，
則允許使用生物識別技術：
數據主體明確同意為一個或多個特定目的處理這些個人數據。但是，沒有任何通
知會議與會者同意提及生物識別/特殊類別處理的任何內容。
UBM告訴IPVM，參與者徽章背面的數據通知表示同意。但是，此通知未提及生
物識別處理或類似內容。 IFSEC的隱私政策及其條款和條件也未提及生物識別/面
部識別/特殊類別處理。

27. 27資料來源：GDPR:REPORT網站
HMRC不當蒐集納稅人聲紋
● 提告方：Big Brother Watch
● 被告方：英國稅務海關總署(HMRC)
● 受理單位：Information Commissioner’s Office(ICO)
● 控訴內容：
根據GDPR，資料的使用必須經過自由的同意。但當納稅人被要求提供他們的聲
音作為他們的密碼時，並不能選擇拒絕。
使用HMRC通話服務的納稅人必須說"我的聲音是我的密碼"。而拒絕提供聲紋的
納稅人將重複收到說出"我的聲音是我的密碼"的指示。
從表面上看，這將使他們更容易打電話並在將來進行安全檢查，但根據Big
Brother Watch的說法，納稅人無法選擇退出或安全刪除其聲紋。
HMRC拒絕透露哪些其他政府部門已經分享了語音ID、如何存儲和使用ID、是
否可以刪除語音ID，數據保存在哪個合法區域等資訊。
鑑於涉及大量公民以及政府機構可能更廣泛地使用生物識別聲紋，Big Brother
Watch建議ICO可以發出通知，要求暫時停止該計劃。

28. 28資料來源：GDPR:REPORT網站
特殊資訊被禁止處理，恐影響辨識系統發展
特殊類別的個人數據應被禁止處理，其中包含種族、民族血統、政治觀點、宗教、哲學信仰、工會會員資
格、遺傳數據、生物識別數據、有關健康的數據或有關人的性生活與性取向。
-數據主體明確同意為一個或多個特定目的處理這些個人數據
-根據聯邦和成員國法律規定而對數據主體的基本權利和利益採取適當保障措施;
-對於保護數據主體或數據主體無法給予同意的其他自然人的重要利益是必要的
-在其合法活動過程中進行，並進行適當保護，且僅涉及成員、前成員或與其相關且經常聯繫的人員
-數據主體已明顯公開的個人數據
-建立、行使或辯護法律案件或法院以其司法身份行事的必要條件
-基於聯盟或成員國法律，出於公眾利益的原因而必要的處理。
-為了評估員工的工作能力、醫療診斷、提供健康或社會護理或治療或管理健康或社會護理系統和服務而進
行的必要處理
-為了公共利益，科學或歷史研究目的或根據聯盟或成員國法律進行的歸檔目的而進行的必要處理
特殊資料處理
(Article 9-1)
處理例外
(Article 9-2)

29. 29資料來源：資安人
特殊資訊被禁止處理，恐影響辨識系統發展
生物辨識系統發展：
隨著各種雲端服務的廣泛使用，人們所需記憶的密碼愈來愈多，雖然資安專家強調密碼更換的重要性，
但許多人還是用相同密碼來存取多個帳號，而成為資安防護的漏洞。因此用隨身攜帶且獨一無二的生
物特徵做為密碼，就不失為一種解決方法。
生物辨識系統缺失：
由於生物辨識資料具有唯一性(獨一無二的特徵)及永久性(特徵不因時間而改變)，因此若辨識系統遭
破解或是生物辨識資料被他人取得的話，無法像傳統的密碼一樣重設就好。
GDPR保護與限制：
由於生物識別數據原則上須被禁止(除非經由特別的同意或是法律因素等)，因此GDPR的限制能夠大
幅降低生物辨識資訊外洩的可能性。然而另一方面，由於生物辨識系統的發展仰賴大量資料，且使用
必須經由特殊同意將降低生物辨識資訊的便利性，因此恐影響生物辨識技術的發展。

30. 30
特殊資訊被禁止處理，恐影響辨識系統發展
對生物辨識系統影響主要可分為兩個面向：
生物辨識系統精準化：
在生物辨識系統發展的過程中，訓練模型(模型的建立與優化)是關鍵的一步，而在調整模
型與參數時，需要使用許多的資料以進行校正。受到GDPR的限制，所有資料的使用皆須
經由特別授權，進而使資料的蒐集上遇到瓶頸，而影響模型建立與優化。
使用者便利性：
在生物辨識系統作為個人身分認證的過程中，勢必要採用到使用者的生物辨識資料，且由
於目前法規判例不多，管制嚴謹度尚不明確，若要求每次以指紋或人臉做登入時皆要明確
同意的話，將會降低生物辨識系統便利性，同時降低使用者使用的意願。
受影響的產業：消費性電子產業、醫療業、航空業、資安產業等。

31. 03 其他影響
31

32. 32資料來源：Forbes, iThome“歐洲最嚴個資法GDPR終於來了”-黃彥棻
未來將有許多企業耗費大量成本以符合GDPR
由於GDPR適用範圍包含客戶有歐盟公民地組織、雇用歐盟公民員工的組織、與歐盟供應商合作的組織等，基本上只要與
歐洲人民相關的數據皆被規範在內，也因此全球各地許多跨國性企業皆須採取相對的因應措施。
左圖為Fortune 500及FTSE350的企業為因應GDPR而耗費的鉅額成本，分別為11億美元與78億美元，平均下來英國每家
FTSE企業花費350萬美元、美國每家Fortune 500企業花費超過1000萬美元以符合GDPR。
右圖為勤業所調查的符合GDPR之歐盟企業，可以發現最新的調查中僅15%完全符合GDPR規範，代表未來將有許多企業
被裁罰抑或是耗費成本以符合規範。
尚未完全符合
者[值]
歐盟企業僅
[值]
完全符合
GDPR規範
Fortune
500
comp…
FTSE
350
comp…
The Cost of GDPR Compliance

33. 33資料來源：數位時代,"GDPR--當創新對上人權“-翁書婷
合規成本對於新創產業弊大於利
• GDPR的限制將會影響企業的合規成本：
搜集與處理用戶個資都必須獲得使用者同意並理解其目的，不容許模糊空間。
→所有產品設計一開始必須含有隱私設計思維（Privacy by design）。在產品設計當初就必須考量GDPR法規，
從資安系統，使用者合約、資訊管理系統等全方面設計。
• 新創產業弊大於利：
新創公司成立時間短，商業模式快速變化，難以向資料所有者說明詳細用途。
法規龐雜，需要各方位人才來符合法規（包括資料長、IT、資料處理、行銷與客服等跨部門多人團隊協助）。
總體而言，新創產業的合規成本相對於其營收高出許多，可能導致「弊大於利」的結果。

34. 34資料來源：新聞彙整
需大量個人識別資訊產業易受波及
網路零售
金融
航空運輸
會處理大量個人識別資訊（PII）產業，包括跨境電商、連鎖商店、旅遊服務、餐飲，只
要是替歐盟顧客服務，掌握信用卡資料、地址、基本個資，都屬於GDPR規範中。
金融機構持有大量個人識別資訊（PII），每當涉及個資需要傳輸到境外、處理或利用
到歐盟民眾個資、海外設有分行、委外業務，都可能受到影響。
航空運輸業在海外設有辦公室，需要頻繁處理大量旅客資料。

35. 35資料來源：掃文資訊
法規之適用性仍有待商議
● 法規適用性議題：
目前數據保護機構是以企業現在時點的狀態來檢視是否違反GDPR，舉例來說，
不論企業的服務條款是何時簽訂的，只要5/25以後服務條款內容有違反GDPR
即會受理處罰，亦即企業應該自行修正服務條款以符合GDPR。
然而，GDPR有一條規範內容是企業必須要在發現數據遭洩漏的72小時內向主
管機關通報，造成了適用性的爭議。
若是主管機關判斷事件發生應屬於5/25前，則應被歐盟數據保護法所規範，
反之則應受GDPR所規範。
● 爭議事件：
黑客試圖在Currys PC World和Dixons旅行商店的一個處理系統中破壞客戶
590萬張卡和120萬張包含非財務資料的記錄，如姓名、地址或電子郵件地址
等。由於駭客事件發生在GDPR生效之前，但是是在GDPR生效後公開披露的，
因此適用的法規仍在商議，也將成為未來類似案件採用法規的先驅。
數據何時遭到洩漏
企業何時發現洩漏
企業何時進行通報

36. 36資料來源：TIME
各國陸續響應GDPR
美國
中國
俄羅斯
社群媒體隱私保護與消費者權利法案，待通過
個人資訊與重要數據保護系統，建置中
將數據隱私和國家監督視為同一枚硬幣的兩面 - 國家主張保護公民個人數據彼此或其
他參與者的權利，但保留其自身的監督權力。
這符合美國通用（且風險更高）的數據隱私方法：依靠技術公司自行監管，只有在數據洩露已經
發生時才考慮採取監管措施。
政府有責任保護用戶不要將其個人數據用於欺詐或其他非法目的，但不太傾向於以其他方式限制個
人數據的使用，如利用人工智慧演算法改善醫療診斷，畢竟人工智慧研究室國家安全戰略的重要組
成部分。

37. 04
37
GDPR之跨國問題處理

38. 38
GDPR原則上禁止個資跨境傳輸
資料來源：國發會”因應歐盟「一般資料保護規則」 生效之措施“
資料跨境傳輸 原則禁止，例外允許
資料跨境傳輸之例外 GDPR 規定個資傳輸至歐盟以外國家，應符合下列條件之一：
-對國家/地區取得適足性認定(adequacy decision)
-企業自主採行符合規範之適當保護措施
-標準個資保護契約條款(Standard Contractual Clauses)
-拘束性企業規則(Binding Corporate Rules)
-行為守則(Codes of Conduct)
-取得認證(Certification)
-個資當事人明確同意

39. 39
適足性認定評估項目
資料來源：國發會”因應歐盟「一般資料保護規則」 生效之措施“
※目前歐盟執委會積極合作對象:日本、韓國、印度、拉丁美洲及歐洲鄰近國家等。另目前已有 12 國家 / 地區獲適足性認定。

40. 結論
40
● GDPR上路後，各國要遵守的規則更明確統一，數據主體的權利更被保障。
● GDPR對目的與同意自由的限制，限縮企業對用戶資料的掌控度。
● 為符合GDPR法規所耗之成本將提高，新創公司相較大型公司在法規上路後，恐面臨更嚴
苛的環境。
● 特殊資料的嚴格控管恐影響生物辨識系統的發展，同時在應用端也可能造成消費者使用的
不便性，降低使用者的使用意願。
● GDPR使需處理大量個人識別資訊產業受波及，如：網路零售、金融、航空運輸業。

41. 05
41
附錄

42. 42資料來源：Intersoft consulting
名詞解釋
Data Subject（數據主體） 客戶、使用者
Controller 管理數據主體在此網站所留下的數據
Processor 利用此數據進行運算、推廣等
GDPR對「個資」之定義
All data which are or can be assigned to a person in any kind of way.
This includes recordings of work times and written answers from a candidate during a test.
Subjective information such as opinions, judgements or estimates can also be personal data.
The information for a personnel reference must refer to a natural person.

43. 43
資
料
來
源
：
Intersoft Consulting
數據主體的權利
● Right to be informed
Where data is obtained directly from the data subject, the person must be immediately informed;
if personal data is obtained indirectly, he or she must be provided the information at latest after a
month.
● Right to be forgotten
Personal data must be erased immediately where:
(1) The data are no longer needed for their original processing purpose
(2) The data subject has withdrawn his consent
(3) Requirement to fulfil a statutory obligation under the EU law or the right of the Member States.
● Consent
Consent must be freely given, specific, informed and unambiguous.
E-mail marketing is allowed without consent, at least for existing customers.

44. 44
資
料
來
源
：
Intersoft Consulting
對企業的規範及義務
● Data Protection Officer (DPO)
If the core activities of a company consist of processing sensitive personal data on a large scale or a form of data
processing which is particularly far reaching for the rights of the data subjects, the company has to appoint a DPO.
● Encryption
GDPR gives the controller a catalogue of criteria to be considered when choosing methods to secure personal data.
● Processing
A processor is only allowed to process personal data based on the documented instructions from the controller.
He/She cannot engage another processor to help fulfil a specific contract, without the prior specific or general written
authorisation of the respective controller.

45. 45
資
料
來
源
：
Intersoft consulting
對企業的規範及義務
● Data Protection Impact Assessment
a data protection impact assessment must always be conducted when the processing could result in a high risk to the
rights and freedoms of natural persons.
● Data Transfer
The data transfer itself must be legal, and the controller must ensure in another way that the personal data will be
sufficiently protected by the recipient. This can be assured using standard contractual clauses.
● Fines and Penalties
For especially severe violations: up to 20 million euros or 4 % of their total global turnover, whichever is higher
For less severe violations: up to 10 million euros or up to 2% of its entire global turnover, whichever is higher

46. 46
特殊資料處理條款原文 (Article 9-1, Article 9-2)
Article 9-1
Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or
trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a
natural person, data concerning health or data concerning a natural person
’
s sex life or sexual orientation shall be
prohibited.
Article 9-2
Paragraph 1 shall not apply if one of the following applies:
(a)the data subject has given explicit consent to the processing of those personal data for one or more specified
purposes, except where Union or Member State law provide that the prohibition referred to in paragraph 1 may not be
lifted by the data subject;
(b)processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the
controller or of the data subject in the field of employment and social security and social protection law in so far as it is
authorised by Union or Member State law or a collective agreement pursuant to Member State law providing for
appropriate safeguards for the fundamental rights and the interests of the data subject;

47. 47
特殊資料處理條款原文 (Article 9-1, Article 9-2)
Article 9-2
Paragraph 1 shall not apply if one of the following applies:
(c)processing is necessary to protect the vital interests of the data subject or of another natural person where the data
subject is physically or legally incapable of giving consent;
(d)processing is carried out in the course of its legitimate activities with appropriate safeguards by a foundation,
association or any other not-for-profit body with a political, philosophical, religious or trade union aim and on
condition that the processing relates solely to the members or to former members of the body or to persons who have
regular contact with it in connection with its purposes and that the personal data are not disclosed outside that body
without the consent of the data subjects;
(e)processing relates to personal data which are manifestly made public by the data subject;
(f)processing is necessary for the establishment, exercise or defence of legal claims or whenever courts are acting in
their judicial capacity;

48. 48
特殊資料處理條款原文 (Article 9-1, Article 9-2)
Article 9-2
Paragraph 1 shall not apply if one of the following applies:
(g)processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law which
shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable
and specific measures to safeguard the fundamental rights and the interests of the data subject;
(h)processing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working
capacity of the employee, medical diagnosis, the provision of health or social care or treatment or the management of
health or social care systems and services on the basis of Union or Member State law or pursuant to contract with a
health professional and subject to the conditions and safeguards referred to in paragraph 3;
(i)processing is necessary for reasons of public interest in the area of public health, such as protecting against serious
cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal
products or medical devices, on the basis of Union or Member State law which provides for suitable and specific
measures to safeguard the rights and freedoms of the data subject, in particular professional secrecy;

49. 49
特殊資料處理條款原文 (Article 9-1, Article 9-2)
Article 9-2
Paragraph 1 shall not apply if one of the following applies:
(j)processing is necessary for archiving purposes in the public interest, scientific or historical research purposes or
statistical purposes in accordance with Article 89(1) based on Union or Member State law which shall be proportionate
to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures
to safeguard the fundamental rights and the interests of the data subject.