Google Cloud 與一般資料保護規則 (GDPR)

遵守 GDPR 是 Google 和客戶的第一要務。GDPR 旨在強化歐洲地區的個人資料保護措施,對所有機構的營運皆帶來影響。您對此肯定有許多疑問,而我們很樂意為您提供協助。Google Cloud 採用客戶導向的保護、控管與法規遵循措施,希望能夠充分協助您遵守 GDPR 的相關規定。

Google Cloud 和 GDPR 白皮書 Google Cloud GDPR 快速參考指南 Google Workspace 資料保護實作指南

造訪 GDPR 資源中心 

GDPR 是什麼?

GDPR 已於 2018 年 5 月 25 日生效,並取代了 1995 年制定的《歐盟資料保護綱領》。

GDPR 的規範具體且詳盡,適用於在歐洲地區設立據點或為歐洲使用者提供服務的企業和機構。GDPR 具備以下特性:

  • 用於規範企業收集、使用及儲存個人資料的方式
  • 以現有的文件和報告規範為基礎,以提升可靠度
  • 能對未遵守規定的企業處以罰金

我們正在努力的部分

Google Cloud 一直支持優先考量並增進使用者資料安全性與隱私權的計畫。我們進行了多次更新,以便確保 Google Cloud 的客戶能在 GDPR 生效後安心地使用服務。Google Cloud 會透過以下方式為合作夥伴提供協助:

  1. 在合約中承諾遵守 GDPR,以符合規範的方式處理所有 Google Cloud Platform 和 Google Workspace 服務中的客戶個人資料
  2. 提供額外的安全性功能,幫助您妥善保護最為機密的個人資料
  3. 為您提供相關說明文件與資源,協助您針對我們的服務進行隱私權評估
  4. 配合監管生態的變化持續提升 Google 的功能

Google Workspace 和 Google Cloud Platform 對於遵守 GDPR 的承諾

除了必須遵守其他規定之外,資料控管者所選的資料處理者也必須提供充分的保證,證明自己已採用合適的技術與機構措施,可確保資料處理程序符合 GDPR 的規定。在評估 Google Workspace 與 Google Cloud Platform 的服務時,建議將以下幾個層面納入考量:

資料保護專業知識

Google 僱用的安全性和隱私權專業人士中,不乏全球頂尖的資訊、應用程式與網路安全性領域專家。這個專家團隊的任務是維護公司的防禦系統、擬定安全性審查程序、打造更穩固的安全性基礎架構,並準確實行 Google 的安全性政策。

Google 也聘請了多位律師、法規遵循專業人士和公共政策專家,共同組成全方位的專家團隊,負責確認 Google Cloud 是否遵守相關的隱私權與安全性規定。

上述團隊會與客戶、業界相關人士和監管機關合作,確保 Google Workspace 和 Google Cloud Platform 服務能夠協助客戶滿足法規遵循要求。

客戶肩負的責任

身為客戶,您應該負起哪些責任?

Google Workspace1 與 Google Cloud Platform 的客戶通常扮演資料控管者的角色,負責管理他們在使用 Google Cloud 服務時提供給 Google 的所有個人內容。資料控管者可以決定個人資料的使用目的與處理方式。Google Cloud 則時常扮演資料處理者的角色。因此,資料控管者在使用 Google Workspace 或 Google Cloud Platform 時,資料處理者 (即 Google Cloud) 就會代替他們處理個人資料。

什麼是資料控管者?

資料控管者負責採取適當的技術和機構措施,以確保並證明所有資料處理程序皆符合 GDPR 的規定;他們的義務與多項原則息息相關,例如合法性、公平性、透明度、目的限制、資料最小化、準確性,以及履行資料當事人的資料相關權利。

您可以定期查看與資料保護有關的國家或主管機關網站,並參閱國際隱私權專家協會 (International Association of Privacy Professionals,簡稱 IAPP) 等資料隱私權機構的出版品,藉此瞭解您在 GDPR 規定下的責任。我們也會持續更新本 GDPR 頁面和 GDPR 資源中心,為您提供相關的新聞與最新動態。

本網站旨在協助客戶充分瞭解 Google Cloud 如何因應 GDPR。網站中的內容不構成任何法律建議,因此如需適用於貴機構特定規定的指引,建議您諮詢法律專家。

您可以從哪裡著手?

身為 Google Cloud 的客戶,您應該在貴機構的資料保護法規遵循策略中納入 GDPR。請參考以下的重點提示:

  • 熟悉 GDPR 的條款內容。
  • 為您經手的個人資料建立一份最新的清單,並利用 Google 提供的某些工具來識別及分類資料。
  • 仔細檢視您目前的控管措施、政策與處理程序,並確認這些項目是否符合 GDPR 對於管理及保護資料的規定,再據此擬定相關計畫,以補強不足之處。
  • 在制定法規遵循管理框架時,思考如何善用 Google Cloud 現有的資料保護功能,並從查閱 Google Workspace 或 Google Cloud Platform 的第三方稽核和認證資訊著手。
  • 詳閱並接受修訂後的資料處理條款。請按照這篇說明文章所述的程序選擇接受《Google Workspace 資料處理修訂條款》,以及按照這篇說明文章所述的程序選擇接受《GCP 資料處理與安全性條款》。
1 Google Workspace 包含 G Suite 企業版和 G Suite 教育版。 2 建議您尋求獨立的法律建議,以便判斷適用的資料保護國家或主管機關為何。

常見問題

GDPR 是什麼?
一般資料保護規則》這項隱私權法規已於 2018 年 5 月 25 日生效,並取代了 1995 年 10 月 24 日制定的《資料保護綱領》(95/46/EC)。
GDPR 是否要求將個人資料儲存於歐盟境內?
否。如同《資料保護綱領》(95/46/EC),GDPR 規範了將個人資料移轉至歐盟境外國家/地區的特定條件。只要利用合約條款範本等機制,您就能確實遵守這些條件。
Google 是否已根據 GDPR 更新條款內容?
多年前,Google Cloud 便已在資料處理條款中清楚載明我們對客戶隱私權和安全性的承諾。雖然 GDPR 直接適用於雲端服務供應商 (無論供應商的合約承諾內容為何),但我們已根據 GDPR 修訂相關條款,其中特別反映了 GDPR 第 28 條的內容 (雲端客戶在使用資料處理服務時的相關規定)。
GDPR 是否賦予客戶稽核 Google Cloud 的權利?
根據 GDPR 的規定,在資料控管者與資料處理者簽訂的合約中,資料處理者必須賦予資料控管者相關的稽核權利。為提供客戶這方面的保障,我們也在新版資料處理協議中納入了稽核權。
在遵循 GDPR 規定方面,第三方的 ISO/IEC 27001、ISO/IEC 27017 和 ISO/IEC 27018 認證,以及 SOC 2/3 報告扮演了什麼角色?
客戶可以利用我們的第三方 ISO 認證與 SOC 2/3 稽核報告來進行風險評估,並判斷自己是否已採取適當的技術與機構措施。
Google 還提供哪些 GDPR 相關資訊和資源?
請瀏覽 Google 的企業與資料網站GDPR 資源中心