GDPR 上路近一年,近 100 件的 GDPR 裁罰案例中,首當其衝的是提供數位服務與廣告產業。
KPMG 安侯法律事務所執行顧問翁士傑表示,因為服務內容多元化,且牽涉多數公司間的資料加值運用與共同行銷,但如果資料的蒐集、處理及利用流程不夠透明讓當事人清楚易懂,或未以足夠安全之方式加以管理,均可能使企業因此受到裁罰。
翁士傑舉例,如法國就對消費者精準廣告投放中違法處理個資的行為,以四大關鍵處以高達5千萬歐元的罰鍰。第一是消費者不易找到個資告知資訊。第二是個資處理活動過於複雜,導致消費者無法理解個資告知或者告知有缺漏。第三是消費者並未取得充足的資訊所以提供的同意也是無效的。第四是精準廣告投放的選項被預設同意。
安侯法律事務所資深律師蘇柏毓則認為,GDPR 對個資的高度要求,反而衍生出新的銷售模式,他以日本為例,已有企業開始讓當事人自主決定個資的使用權與銷售權的 MyData 方式、建立個資銀行,讓當事人自行上傳通勤資料、財務資料或身體健康資料等進行管理,甚至可自行決定授權給廣告公司。
KPMG 安侯建業會計師事務所指出,企業與消費者間維持一個互惠互利的生態,像是 MyData 模式、有望成為廣告公司的新商業模式。