簡述中小企業如何因應新版個資法 (下)

如何因應個資法

(下)篇綱要:

Part 3-中小企業個資處理面面觀

八、         中小企業應有的三大基本個資處理概念
九、         事業體個資保護制度標章
十、      供參考的11項安全措施
十一、     加強個資安全的處理流程
十二、     其他注意事項
十三、     講師結語
十四、     補充連結

 

Part1與Part2請參照 簡述中小企業如何因應新版個資法 (上) 

 

 

PART3:中小企業個資處理面面觀

 

八、中小企業應有的三大基本個資處理概念

 

1.有做不一定沒事,但沒做一定有事

  個資法第27條:「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏」。故公司企業具有「主動防護」個資安全之義務。

 

  但根據施行細則第12條-「以與所欲達成之個人資料保護目的間,具有適當比例為原則」。意即公司企業可根據自身規模大小與可能引起的損害,決定該投入資源與心力的程度

 

EX1:路邊麵店的老闆會擁有叫貨廠商或一些熟客的個資,但就算發生個資洩漏,會造成的損害不大。故老闆可能只需要將相關個資記錄上鎖即可。

EX2:像跨國國際銀行這種握有極龐大數量的重要個資,一旦發生洩漏或遭駭事件,造成的損害也會極大。相對地也應該主動施行更多的資安防護作為,如導入下一段的國際認證標章等等。

 

2.軌跡與證據留存

  個資法第29條:「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。」

  故公司企業須負舉證責任,證明自身已善盡防護義務。

  例如:內部教育訓練教材、個資宣導課程簽到表、聘請專業顧問之費用收據、個資安全討論會議之記錄等等、個資蒐集、處理或利用同意書等等。

  只要是為了個資安全所投入的時間、人力與金錢,皆可將其紀錄保留下來。作為自身非故意且無過失的舉證。

  (但簡律師說,「無過失(零過失)」其實非常難證明。所以就是”有做不一定沒事”。)

 

3.減少所需保存之個人資料

  隨著時間推移,須保存之個人資料必定會隨之增加,個資糾紛之風險自然也隨之提升。故最小化必要蒐集的個人資料,便是一可行的減少個資維護成本方式。

  EX:講師舉例銀行將逐漸取消信用卡申請單上的「聯絡人」欄位(此為間接取得個資範疇)。因為聯絡人並無償債責任。不如取消蒐集,即可免去日後可能衍生之相關糾紛。

 

九、事業體個資保護制度標章

1.     BSI10012:英國BSI所辦認證
2.     ISO27001:國際ISO所辦認證
3.     TSP:德國TUViT所辦認證

(以上為國際資安認證標章,總費用基本上是百萬以上起跳,較適合國際大型企業。)

4.     TPIPAS:經濟部商業司委託資策會所辦認證,為免費,但只限定電子商務公司。

 

取得資安認證標章不代表發生糾紛時就一定免負賠償責任

 

 

十、供參考的11項維護個資安全措施:

個資法施行細則第12條,明確列出維護個資安全的11項措施:
(意即毫無方向的中小企業可先從這些面向著手去做自我檢視、評估與改進)

1.     配置管理之人員及相當資源。
2.     界定個人資料之範圍。
3.     個人資料之風險評估及管理機制。
4.     事故之預防、通報及應變機制。
5.     個人資料蒐集、處理及利用之內部管理程序。
6.     資料安全管理及人員管理。
7.     認知宣導及教育訓練。
8.     設備安全管理。
9.     資料安全稽核機制。
10.   使用紀錄、軌跡資料及證據保存。
11.   個人資料安全維護之整體持續改善。

 

參考文章:因應個資法上路,11項企業應該要做的事

(內含有資策會科法所科技應用法制中心組長郭戎晉針對此11項措施所提出的要點說明。)

 

十一、加強個資安全的處理流程

個資安全加強處理流程圖   

★個資盤點-

1.     先了解公司內各項業務,並嘗試畫出如下的作業流程圖(作業流)。

個資流  (圖片來源:安資捷)

2.     再依作業流中,找出個流程間產生的個資。

3.     將上述個資之流動紀錄後,分為蒐集、處理、利用及”刪除”四種類別,憑以畫出個資流程圖(個資流)。以期確實掌握各種個資之流向與儲存位置。

參考文章:個資盤點案例-鼎新電腦 

 

★法令盤點-

目的:了解應遵循之各種外規、檢視內規有無欠缺或應修正部分、釐清管理程序應遵循方向等。

應列入搜尋範圍之法規:

公司業務所涉及之法規、個資法規、相關目的事業主管機關所頒行政命令等。

 

★風險分析與控管

風險認識:企業中之各資風險分布於作業流之節點。

風險分析之進行方法:

1.     將個資作業流程圖與個資盤點清冊進行比對
2.     將識別出之風險進行分析:

危險種類  -係違反外規抑或內規。

危險情況  -如何造成個資風險,例如特定目的外之利用,或未得客戶書面同意等。

弱點          -內部作業程序有何弱點,為何會造成此個資風險

威脅          -此個資風險發生將導致何種結果。

 

★手冊制定

參考項目-

        識別法令與其他相關規範;識別事業所保有之個人資料;事業蒐集、處理或利用個人資料之事宜;個人資料相關風險分析及管控措施;事故緊急應變:事業各部門以及層級所擁有個人資料管理權限與責任;當事人權利之行使;維持個人資料正確性;安全管理措施;事業人員之監督與獎懲;委託蒐集、處理或利用個人資料之監督;教育訓練;個人資料管理制度之文件與紀錄管理;當事人申訴及諮詢;內部評量;矯正及預防措施;最高管理階層定期檢視。

 

★內部評量作業:

1.     不定期的有效性測量:

事業應對自身個資保護機制建立量測機制,以測試制度是否有效;測試紀錄應保存,並作為改進依據。

 

2.     每年的內部評量:

事業每年應進行內部評量,並將結果製作書面,以確保制度持續有效,並應外部檢核;內評作業應由具備個資內評師或各資驗證師資格者進行。

3.     每年的定期檢視:

個資管理代表應每年定期招集相關人員開會,檢視個資管理保護制度,並將檢視結果書面化,報告最高管理階層。

 

 

十二、其他注意事項

 

★  委託人具監督受委託者之義務-

個資法施行細則第8條,委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督。(至少應包含的六項監督事項請見施行細則第8條。)

 

===下面這幾點與蒐集、處理皆相關,紅字表中小企業比較容易遇到之情形===

 

★  「直接向當事人蒐集」個資時,須明確告知以下事項:

1.     公務機關或非公務機關名稱。
2.     蒐集之目的
3.     個人資料之類別
4.     個人資料利用之期間、地區、對象及方式
5.     當事人依第三條規定得行使之權利及方式。
6.     當事人得自由選擇提供個人資料時,不提供將對其權益之影響。

有下列情形之一者,得免為前項之告知:

1.     依法律規定得免告知。
2.     個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
3.     告知將妨害公務機關執行法定職務。
4.     告知將妨害第三人之重大利益。
5.     當事人明知應告知之內容

 

★ 「間接蒐集」當事人之個資時,應於處理、利用前告知上一要點所列之通知事項:

有下列情形之一者,得免為前項之告知:

1.     有前條第二項所列各款情形之一。
2.     當事人自行公開或其他已合法公開之個人資料。
3.     不能向當事人或其法定代理人為告知。
4.     基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。

5.     大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。

(EX:有受害者爆料,記者根據其提供之個資向第三者查證時可拒絕提供消息來源。)

第一項之告知,得於首次對當事人為利用時併同為之。

 

★  非公務機關於蒐集、處理個資時須完成的兩大條件:

A.符合下列情形之一

1.         法律明文規定
2.         與當事人有契約(EX:聘僱員工、交易)或類似契約(EX:合作洽談)之關係
3.         當事人自行公開或其他以合法公開之個人資料
4.         學術研究機構基於公共利益為統計或學術研究而有必要…(下略)
5.         經當事人書面同意
6.         與公共利益有關。(EX:人肉搜索的正當性)

 

B.應有特定目的

詳細182個特定目的項目請見「個人資料保護法之特定目的及個人資料之類別」。意即蒐集、處理個資前,應先確定這些個資是為了甚麼目的而使用。

 

※講師建議-

在編撰同意書或契約書時可多列一點可能會用到之目的,以免日後臨時有目的之外的利用時,須花費額外心力以符合下一要點之敘述。

 

★  蒐集、處理個資在上述特定範圍外之利用:

有下列情形之一者,得為特定目的外之利用。

1.     法律明文規定
2.     為增進公共利益
3.     為免除當事人之生命、身體、自由或財產上之危險。
4.     為防止他人權益之重大危害。
5.     公務機關或學術研究機構基於公共利益為統計或學術研究而有必要…(下略)
6.     經當事人書面同意

 

=====蒐集、處理相關要點到此結束=====

 

★  非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用

 

★  當事人對其個資擁有的權利:(不得預先拋棄或以特約限制之

一、查詢或請求閱覽。二、請求製給複製本。

三、請求補充或更正。四、請求停止蒐集、處理或利用。

五、請求刪除

 

★  當事人要求刪除個資時,如有以下但書所定因執行職務或業務所必須的情形之一,得不刪除:

1.     有法令規定或契約約定之保存期限。
2.     有理由足認刪除將侵害當事人值得保護之利益。
3.     其他不能刪除之正當事由。

EX:離職員工要求刪除個資,但勞資法規定雇主要保留離職員工資料五年,故可不刪除。

 

★ 10月1日個資法施行前所「間接」蒐集到的個資,可以不必補行通知!
  但是如要利用時 還是要遵照個資法規定去通知當事人。

 

十三、  講師的結語

 

  新版個資法雖早於2010年5月即修正公布,理論上至施行之2012年10月1日,相關業者有2年以上之因應期間。

  然而,由於法條修正幅度過大,施行細則又遲未出爐,加上「個資盤點」、「風險評鑑」、「流程建立」、「資訊安全」及「內部評核」等程序均屬高度專業,故實際上除受主管機關高度規管之金融業者外,其他大量使用個人資料於行銷或提供服務之業者,甚至公務機關,均尚未確實做好準備工作。

 

  企業內部面臨新法上路可能產生之組織或流程調整,外部則有虎視眈眈準備訴訟高額求償的個資團體,實不得不審慎加以因應。

  建議大型企業應成立跨部門之專案小組(包括法務、人資、資訊、作業及稽核等部門)進行討論,中小型企業則可尋求外部專業人士之協助(但得考量比例原則就無法自行處理部分委外),以期能在兼顧企業經營成本之下,降低所可能面臨之法律風險。

 

 

四、補充連結

個人資料保護法條文內容:http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021

個人資料保護法施行細則:http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050022

個人資料保護法之特定目的及個人資料之類別修正總說明及對照表:

http://www.moj.gov.tw/ct.asp?xItem=283183&ctNode=28007&mp=001

TPIPAS:http://www.tpipas.org.tw

 

 

※以上內容僅供參考,不包含所有個資法細節;如有任何疑慮請尋求專業法律諮詢顧問※

 

 

 

 

 

 

 

Related Posts Plugin for WordPress, Blogger...

About 【子亥】

雖然外皮和骨子裡都帶著濃厚的理工人的特質,但內心深處燃燒著的卻是行銷魂。而最喜歡的一句話是:「對自己的人生負責。」
【職場實務】

給我點意見吧: