在歐盟營運的亞洲企業 GDPR 指南

與歐盟居民做生意，代表你很可能會接觸到《一般資料保護規則》（General Data Protection Regulation，GDPR）——即使你的公司設立在歐盟以外亦然。本實務指南將說明 GDPR 何時適用、非歐盟公司必須遵守的主要法律義務、如何處理跨境資料傳輸、不合規的後果，以及一份你今天就能使用的簡要落實清單。（以下所有法律條文與指引皆連結至歐盟官方來源。）

非歐盟企業在什麼情況下適用 GDPR？

GDPR 不僅適用於設立於歐盟境內的公司，也適用於設立於歐盟境外、但向歐盟境內人士提供商品或服務，或監測位於歐盟境內之個人行為的企業。此種域外適用範圍載明於 GDPR 第 3 條，並已在法律指南與監管解釋中獲得確認。只要公司以歐盟使用者為目標——例如提供歐盟語言版本、接受歐盟貨幣，或追蹤歐盟網站訪客——即使在歐盟沒有辦公室，也必須遵守 GDPR。

重點整理：

GDPR 適用於向歐盟居民提供商品／服務的非歐盟企業。
亦適用於監測歐盟境內個人行為（例如追蹤、分析、建立側寫）的公司。
即使是被動的資料處理（如網站表單），只要明確鎖定歐盟使用者，也可能觸發 GDPR。

外國資料控制者與處理者的核心 GDPR 義務

一旦依第 3 條認定 GDPR 適用，即會產生一系列法律義務，包括：為個人資料處理建立合法依據、提供透明的隱私資訊，以及定期記錄處理活動。GDPR 強調「可問責性」：企業不僅要遵守規則，還必須能向主管機關證明其合規性。

主要法律義務包括：

合法依據與透明性

你必須為個人資料處理具備合法依據（如同意、契約、正當利益等），並向資料當事人提供清楚的隱私告知，說明處理目的、保存期限及其權利。這是 GDPR 法律架構的基石。

處理活動紀錄與可問責性

資料控制者，以及多數情況下的資料處理者，必須保存處理活動紀錄，並在必要時向監管機關證明合規。歐盟執委會對企業的指引說明了實務上的期待。

資料保護長（DPO）——何時需要

在特定情況下必須指定 DPO（如：公部門；大規模或系統性監測；大規模處理特殊類別資料）。即使法律未強制，指派合格的 DPO 或外部隱私顧問，通常仍是最佳實務。詳情請參見第 37 條與 EDPB 指引。

資料當事人權利

你必須能夠回應歐盟居民的權利請求，包括：查詢、更正、刪除（「被遺忘權」）、限制處理、資料可攜，以及反對權——通常需於 1 個月內完成（可在特定情況下延長）。這些權利是 GDPR 運作的核心。

資安、資料外洩與 DPIA

實施適當的技術與組織措施（如加密、存取控管、日誌紀錄）。重大資料外洩須於 72 小時內通報相關主管機關。對於高風險的處理活動，需進行資料保護影響評估（DPIA）。

依第 27 條指定歐盟代表

因鎖定歐盟居民而適用 GDPR 的外國公司，通常必須指定一名設立於歐盟的代表。該代表作為與歐盟監管機關及資料當事人的在地聯絡窗口，以確保可問責性與即時回應。當非歐盟實體依第 3 條第 2 項處理歐盟個人資料時，第 27 條即要求指定歐盟代表。

代表重點：

代表必須設立於某一歐盟會員國。
其角色是在資料保護事項上，作為與歐盟監管機關及個人的聯絡橋樑。
該義務僅在公司依 GDPR 的地域適用範圍鎖定歐盟市場時成立。

實務提醒：請選擇熟悉當地監管機關期待、且能迅速回應請求的代表，這有助於降低監管摩擦並加快事件處理速度。

跨境資料傳輸：SCC、適足性與保障措施

除非具備適當保障，GDPR 限制將個人資料傳輸至歐盟／歐洲經濟區（EEA）以外。最常見的法律機制是由歐盟執委會通過的標準合約條款（Standard Contractual Clauses，SCCs）。SCCs 提供適當保護，確保資料當事人的權利能隨資料一同被帶到歐盟境外。

傳輸機制：

適足性決定（Adequacy decisions）： 若歐盟執委會認定某國的資料保護水準充分，資料可自由傳輸。
標準合約條款（SCCs）： 當不存在適足性決定且公司受 GDPR 規範時適用；必須正確簽署並落實。
適當保障措施： 加密、假名化（pseudonymisation）與文件化的傳輸影響評估，有助於證明保護水準。
文件保存： 為稽核目的，保存風險評估與保障措施紀錄。

建議：務必文件化傳輸風險評估，並在可行情況下採取加密、假名化，或將歐盟居民資料保存在 EU/EEA 內。

執法、罰則與監管機關

大型跨境資料控制者通常主要透過 GDPR 的一站式機制（One-Stop-Shop）與單一歐盟監管機關互動；該機關會與其他機關協調，必要時由歐洲資料保護委員會（EDPB）作出具拘束力的決定。執法可涵蓋全歐盟，各監管機關會共享資訊與決策。

罰鍰與處罰

GDPR 罰鍰可能相當可觀：最嚴重違規可處以2,000 萬歐元或全球年度營業額的 4%（以較高者為準），其他違規則適用較低級距。監管機關在計算罰鍰時遵循 EDPB 的共同指引。近期多起高知名度案例顯示，不合規的風險是真實存在的。

外國公司的實務 GDPR 合規檢查清單

合規既是法律問題，也是營運專案。請使用以下清單來組織你的工作：

從基礎開始：

地域適用評估 — 確認 GDPR 是否適用。
資料盤點 — 繪製歐盟個人資料流向並文件化類型。
法律文件 — 更新隱私政策、合約與資料處理協議。
歐盟代表 — 如有需要即指定。
傳輸機制 — 落實 SCCs 或其他保障。
資安與通報規劃 — 建立技術防護與事件應變計畫。
權利履行 — 建立回應歐盟資料當事人請求的流程。
教育訓練 — 培訓員工了解 GDPR 原則與內部流程。

常見需避免的合規陷阱

合規失誤往往源自錯誤假設或過時作法，常見包括：

誤以為非歐盟的隱私政策即可符合 GDPR。
提供數位服務至歐盟，卻忽視 GDPR 的域外適用。
未指定法律要求的歐盟代表。
使用舊版 SCC 範本，或未文件化傳輸保障。

進一步閱讀的官方資源

以下為權威且官方的 GDPR 參考連結：

GDPR 全文（歐盟規則 (EU) 2016/679）: https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng
歐盟執委會——企業與組織的規則: https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations_en
EDPB 關於地域適用與 DPO 的指引: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en
歐盟執委會 2021 年標準合約條款（SCCs）: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en
EDPB 罰鍰計算方法（風險評估實用）: https://www.edpb.europa.eu/system/files/2023-06/edpb_guidelines_042022_calculationofadministrativefines_en.pdf

需要 GDPR 合規協助嗎？Polylocal 可以支持你

GDPR 合規不只是勾選法律清單——它同時是策略、營運與市場進入的議題，特別是對不熟悉歐盟監管環境的外國公司而言。Polylocal 並非律師事務所，但我們能協助國際企業有效率地理解並落實 GDPR 要求，並為你媒合合適的在地專家，從一開始就把流程架構好。

Polylocal 可提供以下協助：

評估你的 GDPR 風險與適用性（依據商業模式、目標市場與資料流）
引介熟悉 GDPR 且了解你所屬產業的歐盟專業律師事務所（科技、SaaS、電商、教育、B2B 服務等）
在需要時，協助協調歐盟代表、DPO 服務與合規供應商
作為內部團隊與外部法律專家的橋樑，確保在文化與營運層面不「走失於翻譯」
支援符合 GDPR 的歐洲市場進入、在地化與溝通策略

與其獨自摸索 GDPR，或選錯顧問，Polylocal 協助你打造正確的合規生態系——依你的產業、規模與擴張目標量身訂做。

聯絡我們

歡迎聯絡 Polylocal，讓我們協助你對接合適的 GDPR 專家，自信前進歐盟市場。