Google Cloud 與一般資料保護規則 (GDPR)

遵守 GDPR 是 Google Cloud 和客戶的第一要務。GDPR 旨在強化歐洲地區的個人資料保護措施,對所有機構的營運皆帶來影響。您對此肯定有許多疑問,而我們很樂意為您提供協助。Google Cloud 採用客戶導向的保護、控管與法規遵循措施,希望能夠充分協助您遵守 GDPR 的相關規定。

Google Workspace 資料保護實作指南 Google Workspace for Education 資料保護實作指南 將資料放心託付給 Google Cloud Platform

造訪 GDPR 資源中心 

免責事項:本文撰寫於 2020 年 11 月,所有資訊皆以當時情況為依據。我們會持續改善客戶資料的保護機制,因此 Google 的安全性政策和系統未來可能會有所變動。當提到 Google Workspace 時,Google Workspace for Education 亦含括在內。在接下來幾個月內,我們會為教育和非營利客戶提供 Google Workspace。

GDPR 是什麼?

GDPR 已於 2018 年 5 月 25 日生效,並取代了 1995 年制定的《歐盟資料保護綱領》。

GDPR 的規範具體且詳盡,適用於在歐洲地區設立據點或為歐洲使用者提供服務的企業和機構。GDPR 具備以下特性:

  • 用於規範企業收集、使用及儲存個人資料的方式
  • 以現有的文件和報告規範為基礎,以提升可靠度
  • 能對未遵守規定的企業處以罰金

Google Cloud 和 GDPR

Google Cloud 支持任何以客戶個人資料安全和隱私為優先考量並推動相關改進措施的計畫,並且會遵守 GDPR 的規定,讓每位 Google Cloud 客戶都能安心使用我們提供的服務。只要與 Google Cloud 合作,您就能獲得下列 GDPR 法規遵循相關協助:

  1. 在合約中承諾遵守 GDPR,以符合規範的方式處理所有 Google Cloud Platform 和 Google Workspace 服務中的客戶個人資料
  2. 提供額外的安全性功能,幫助您妥善保護最為機密的個人資料
  3. 為您提供相關說明文件與資源,協助您針對我們的服務進行隱私權評估
  4. 配合監管生態的變化持續提升 Google 的功能

Google Workspace 和 Google Cloud Platform 對於遵守 GDPR 的承諾

除了必須遵守其他規定之外,資料控管者所選的資料處理者也必須提供充分的保證,證明自己已採用合適的技術與機構措施,可確保資料處理程序符合 GDPR 的規定。在評估 Google Workspace 與 Google Cloud Platform 的服務時,建議將以下幾個層面納入考量:

資料保護專業知識

Google 僱用的安全性和隱私權專業人士中,不乏全球頂尖的資訊、應用程式與網路安全性領域專家。這個專家團隊的任務是維護公司的防禦系統、擬定安全性審查程序、打造更穩固的安全性基礎架構,並準確實行 Google 的安全性政策。

Google 也聘請了多位律師、法規遵循專業人士和公共政策專家,共同組成全方位的專家團隊,負責確認 Google Cloud 是否遵守相關的隱私權與安全性規定。

上述團隊會與客戶、業界相關人士和監管機關合作,確保 Google Workspace 和 Google Cloud Platform 服務能夠協助客戶滿足法規遵循要求。

客戶肩負的責任

身為客戶,您應該負起哪些責任?

Google Workspace1 與 Google Cloud Platform 的客戶通常扮演資料控管者的角色,負責管理他們在使用 Google Cloud 服務時提供給 Google 的所有個人內容。資料控管者可以決定個人資料的使用目的與處理方式。Google Cloud 則時常扮演資料處理者的角色。因此,資料控管者在使用 Google Workspace 或 Google Cloud Platform 時,資料處理者 (即 Google Cloud) 就會代替他們處理個人資料。

什麼是資料控管者?

資料控管者與資料處理者負責採取適當的技術和機構措施,以確保並證明所有資料處理程序皆符合 GDPR 的規定;他們的附加義務與多項原則息息相關,例如合法性、公平性、透明度、目的限制、資料最小化、準確性,以及履行資料當事人的資料相關權利。

您可以定期查看與資料保護有關的國家或主管機關網站,並參閱國際隱私權專家協會 (International Association of Privacy Professionals,簡稱 IAPP) 等資料隱私權機構的出版品,藉此瞭解您在 GDPR 規定下的責任。我們也會持續更新本 GDPR 頁面和 GDPR 資源中心,為您提供相關的新聞與最新動態。

本網站旨在協助客戶充分瞭解 Google Cloud 如何因應 GDPR。網站中的內容不構成任何法律建議,因此如需適用於貴機構特定規定的指引,建議您諮詢律師。

您可以從哪裡著手?

舉例來說,如果您是位於歐洲經濟區或英國境內的 Google Cloud 客戶,或負責處理歐洲經濟區或英國資料當事人的相關資料,則應該在貴機構的資料保護法規遵循策略中納入 GDPR。請參考以下的重點提示:

  • 熟悉 GDPR 的條款內容。
  • 為您經手的個人資料建立一份最新的清單,並利用 Google 提供的某些工具來識別及分類資料。
  • 仔細檢視您目前的控管措施、政策與處理程序,並確認這些項目是否符合 GDPR 對於管理及保護資料的規定,再據此擬定相關計畫,以補強不足之處。
  • 在制定法規遵循管理框架時,思考如何善用 Google Cloud 現有的資料保護功能,並從查閱 Google Workspace 或 Google Cloud Platform 的第三方稽核與認證資訊著手。
  • 詳閱並視需要接受修訂後的資料處理條款。請按照這篇說明文章所述的程序選擇接受《Google Workspace 資料處理修訂條款》,以及按照這篇說明文章所述的程序選擇接受《GCP 資料處理與安全性條款》。
1 Google Workspace (舊稱 G Suite) 包含 Google Workspace for Teams、Google Workspace Business 和 Google Workspace for Education。我們仍會繼續支援部分舊版 G Suite 方案。 2 建議您尋求獨立的法律建議,以便判斷適用的資料保護國家或主管機關為何。

常見問題

GDPR 是什麼?
一般資料保護規則這項隱私權法規已於 2018 年 5 月 25 日生效,並取代了 1995 年 10 月 24 日制定的資料保護綱領 (95/46/EC)
GDPR 是否要求將個人資料儲存於歐盟境內?
否。如同資料保護綱領 (95/46/EC),GDPR 規範了將個人資料移轉至歐盟境外國家/地區的特定條件。只要利用合約條款範本等機制,您就能確實遵守這些條件。
GDPR 規範如何反映在您的各項條款中?
多年來,Google Cloud 已在資料處理條款中清楚載明我們對客戶隱私權和安全性的承諾,並已根據 GDPR 逐步修訂相關條款,其中特別反映了 GDPR 第 28 條的內容 (資料控管者在使用資料處理者時的相關規定)。
GDPR 是否賦予客戶稽核 Google Cloud 的權利?
根據 GDPR 的規定,在資料控管者與資料處理者簽訂的合約中,資料處理者必須賦予資料控管者相關的稽核權利。為保障必須遵守 GDPR 規範的客戶,我們也在新版資料處理協議中納入了稽核權。
在遵循 GDPR 規定方面,第三方的 ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018 和 ISO/IEC 27701 認證,以及 SOC 2/3 報告扮演了什麼角色?
客戶可以利用我們的第三方 ISO/IEC 認證與 SOC 2/3 稽核報告來進行風險評估,並判斷自己是否已採取適當的技術與機構措施。我們所獲得的 ISO/IEC 27701 認證可進一步釐清隱私權相關角色和責任,協助遵循 GDPR 等隱私權規範。
現在 Privacy Shield (隱私護盾) 已失效,如果繼續使用 Google Cloud 處理歐盟個人資料,是否符合 GDPR 的規定?
儘管 Google 會繼續審查歐盟法院 (CJEU) C-311/18 一案的影響,但仍將採取適當步驟,確保持續為歐盟公民提供高度隱私保護服務。
Google Cloud 會為客戶提供標準契約條款或合約條款範本 (MCC),並且在 Google 未提供任何替代轉移解決方案的情況下自動推定為適用。
無論資料位於何處,Google 都會將妥善保護資料視為首要之務。我們已通過 ISO/IEC 27001ISO/IEC 27018ISO/IEC 27017 等多項公認的國際標準認證。 您可前往法規遵循資源中心取得完整的 Google 法規遵循服務清單。
Google 還提供哪些 GDPR 相關資訊和資源?
請前往 Google 的企業與資料網站GDPR 資源中心