資料處理者

根據歐盟《一般資料保護規則》(GDPR) 第 4(8) 條，資料處理者是「代表控制者處理個人資料的自然人、法人、公共機關、局處或其他機構」。 他們不能決定處理個資的目的和方式，僅能遵循資料控制者的明確指示行事。

只要業務涉及處理歐盟居民的個人資料，即使公司在台灣，也受 GDPR 管轄，違規罰款最高可達全球年營業額的 4% 或 2,000 萬歐元。 此外，許多國際供應鏈（如半導體、汽車）會要求其合作夥伴（資料處理者）必須符合 GDPR 或相關國際標準，否則將面臨失去訂單的商業風險。

主要相關標準為 ISO/IEC 27701 (隱私資訊管理系統)，它延伸了 ISO/IEC 27001 (資訊安全管理系統) 的要求。 其中，條款 8 專門針對「作為 PII 處理者的組織」提供了具體的控制措施與實施指引。

積穗科研是全台最早結合 ERM、工業工程、科技法律與資料科學的顧問公司。我們由具預防法學背景的創辦人帶領，團隊擁有科法所律師與 ISO 主導稽核員，能協助企業將 GDPR 合規要求與 ISO 27701 等管理系統垂直整合，避免制度疊床架屋，並優化對台積電、聯發科等客戶的營業秘密保護承諾。