澳門不僅是世界級的旅遊和娛樂中心，也是一個充滿商機的市場。任何希望在此成功發展的企業，都必須了解並尊重其法律框架，其中最重要的部分之一就是如何合法地處理個人資料。

澳門的第8/2005號法律《個人資料保護法》（PDPA）為企業設定了明確的指引。這部法律有一些獨特的要求，尤其是與監管機構的互動方面，是企業絕不能忽視的。

以下我們將通過一個5步驟的實務指南，幫助您的企業在澳門合法、合規地收集和使用個人資料。

步驟一：確保處理的正當性

在您考慮設計表格或收集任何資料之前，必須先確保您有一個合法的基礎。在澳門PDPA中，最核心、最常用的商業活動基礎是獲得資料當事人（即個人）的明確同意 (Explicit Consent)。

• 執行要點：

  • 清晰告知：必須以清晰、簡單的語言告知個人，您將收集哪些資料以及收集的目的。

  • 自願選擇：同意必須是個人在自由意志下作出的明確行為，例如勾選一個未被預先選中的選框。

  • 敏感資料：對於健康狀況、宗教信仰等敏感資料，必須獲得書面形式或同等效力的更嚴格的明確同意。

步驟二：向GPDP進行事前通知或申請許可

這是澳門PDPA最獨特且至關重要的一個環節。在大多數情況下，企業在開始自動化（例如，使用電腦系統）處理個人資料之前，必須將該處理活動通知 (Notification) 個人資料保護辦公室（GPDP）。

• 執行要點：

  • 提前申報：至少在開始處理活動的8天前向GPDP提交通知表格。

  • 詳述活動：通知中需包含資料控制者的身份、處理目的、涉及的資料類別、安全保障措施等詳細資訊。

  • 申請許可：對於某些高風險的處理活動，如處理生物識別資料或將資料轉移至GPDP認為保護水平不足的地區，則需要獲得GPDP的事先許可 (Authorization)。

步驟三：向當事人提供透明的資訊

在收集資料的那一刻，建立信任的第一步就是保持透明。您有義務向個人提供關於其資料處理的關鍵資訊。

• 執行要點：

  • 在您的表格或網站上清晰地提供以下資訊：

    • 資料控制者（即您的公司）的身份和聯絡方式。

    • 資料處理的具體目的。

    • 資料的潛在接收者（例如，第三方合作夥伴）。

    • 個人擁有的查閱權和更正權等權利。

步驟四：遵守核心處理原則

一旦您合法地收集了資料，後續的使用和管理也必須遵守PDPA的核心原則。

• 執行要點：

  • 目的限制原則：只能將資料用於您當初聲明的特定目的。

  • 資料最小化原則：只收集與目的相關、適度且必要的資料。例如，訂閱電子報不應要求用戶提供其身份證號碼。

  • 保留期限原則：資料保存的時間不應超過達成其目的所需的時間。

步驟五：實施強大的安全措施

保護您所持有的資料是一項嚴格的法律義務。PDPA要求企業採取「適當的技術和組織措施」來保障資料安全。

• 執行要點：

  • 技術措施：採用如端到端加密、防火牆和安全的伺服器等技術。

  • 組織措施：建立內部資料保護政策，對員工進行培訓，並實施精細的存取權限控制，確保只有授權人員才能接觸敏感資料。

Walla的角色, 以科技簡化合規流程

手動執行上述所有步驟，尤其是準備GPDP通知和管理複雜的安全要求，可能是一項重大挑戰。

Walla 平台正是為了幫助企業應對這些挑戰而設計的。

• 安全合規 (步驟五)：Walla提供端到端加密和精細的存取權限控制，幫助您輕鬆達到PDPA所要求的高安全標準。

• 透明與同意 (步驟一 & 三)：我們專業、安全的表格介面，是您清晰說明目的並獲取有效同意的理想工具。

• 審計與報告 (步驟二)：Walla的全面審計追蹤功能為您的處理活動提供詳細記錄，這在準備向GPDP提交通知時至關重要。

• 數據管理 (步驟四)：集中式的平台簡化了目的限制和資料最小化原則的管理，而自動化的保留政策則幫助您遵守資料保留期限的要求。

結論

在澳門，合法地收集和使用個人資料，關鍵在於採取一種主動、透明且負責任的態度，特別是牢記向GPDP進行事前通知的獨特要求。通過遵循這五個步驟，並借助像Walla這樣的現代化數據治理平台，您的企業不僅能確保合規，還能在這個充滿機遇的市場中建立起寶貴的客戶信任。