| 一、 |
案例:
一家總公司位於歐盟會員國的台灣分公司(下稱要保公司),擬為其總公司派駐台灣的歐盟會員國國籍員工及其位於歐盟境內的家屬,向位於台灣的我國保險公司(下稱保險公司)申請承保團體保險。該保險公司未於歐盟境內設立據點,保單銷售對象為台灣公司、保單使用的語言為中文、保費或相關理賠結算的貨幣單位均為新臺幣,請問: |
| (一) |
保險公司提供團體保險服務予前述要保公司之歐盟會員國國籍員工(現居住在台灣),該員工已離開歐盟地區,因此無GDPR第3條第2項第(a)款規定之適用;惟若該歐盟會員國國籍員工未來回到歐盟境內,則保險公司辦理後續保險理賠等行為時,是否有GDPR第3條第2項第(a)款規定之適用? |
| (二) |
保險公司提供團體保險服務予前述要保公司歐盟會員國國籍員工位於歐盟境內之眷屬、配偶或子女,是否有GDPR第3條第2項第(a)款規定之適用? |
| 二、 |
歐盟司法總署回應略以: |
| (一) |
有關未設立於歐盟境內之控管者或受託處理者,對位於歐盟境內之當事人提供商品或服務,依GDPR第3條第2項第(a)款規定所稱「提供商品或服務」之判斷標準,參考GDPR立法前言第23點之說明,應確認是否明顯可知該控管者或受託處理者預見其係提供服務予位於一個或多個歐盟會員國境內之當事人。故僅以非設立於歐盟境內之控管者或受託處理者,處理位於歐盟境內人民個資之事實,尚不足以觸發GDPR之適用,而應判斷該處理是否以位於歐盟之人民作為特定目標,例如是否以任一歐盟會員國語言提供服務、或是否以歐元或任一歐盟會員國貨幣付款等因素。(參閱EDPB於2019年11月12日發布指引:Guidelines 3/2018 on the territorial scope of the GDPR ( Article 3) - version adopted after public consultation) |
| (二) |
本案保險公司之保單使用語言為中文、保費或相關理賠結算之貨幣均為新臺幣,尚難僅以保險公司處理具有歐盟會員國國籍或居住於歐盟人民之個資,而觸發GDPR之適用,倘保險公司未以位於歐盟之人民作為其特定目標,則縱使該歐盟會員國國籍員工返回歐盟,仍無GDPR之適用。 |