撰文:高雄律師,王瀚誼律師事務所。
大家好,我們今天會向大家討論,關於企業使用客戶、或員工等的個人資料時,有沒有什麼需要注意的地方呢?因為,個資法對於濫用個人資料,不僅有行政、民事、還有刑事責任,所以的確是企業在法律風險上,需要稍加留心的一個地方,詳細請看以下說明:
一、依照產業類別而有不同的主管機關。
個資法並沒有設有專職的主管機關,是依照行業標準分類來對應中央目的事業主管機關、或直轄市、縣(市)政府來共同辦理,例如:「化妝品製造業」主管機關為「經濟部衛生福利部」、「半導體製造業」為「經濟部」等,而法務部為有權解釋之機關,另設有「個人資料保護法非公務機關之中央目的事業主管機關列表」,可作為詳細的參考規定。
二、關於何謂合理使用的「特定目的」與「資料類別」。
個人資料保護法第 5 條
個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
依照個資法第5條規定,個人資料的蒐集、處理、利用,不應逾越特定目的的必要範圍,並且與蒐集的目的具有正當合理關聯,而應如何認定特定目的,進而認定相關的必要範圍呢?
於此,法務部依個資法第53條規定,訂立了「個人資料保護法之特定目的及個人資料之類別」,當中依照產業與業務類別,詳細區分成182種特定目的、134種個人資料類別,因此在使用他人個資時,可以參考以上規定,來界定出資料蒐集目的與類別,同時也讓大眾對於個資可能被利用的程度與方式,有了一個更清楚的範本可以參考。
不過法務部也在立法理由中指出,怕例示規定仍有不足,因此當特定目的、個人資料類別仍屬於上述規定之外時,建議應再詳細說明業務活動,並列入證據文件或個人資料檔案公開事項作業裡面,以補充與澄清特定目的及個人資料類別實質內涵,才是更為保險的做法。
三、何種是保障個人資料的「適當安全維護措施」?
個人資料保護法施行細則第12條
第1項:本法第6條第1項但書第2款及第5款所稱適當安全維護措施、第18條所稱安全維護事項、第19條第1項第2款及第27條第1項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。
第2項:前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:
配置管理之人員及相當資源。
界定個人資料之範圍。
個人資料之風險評估及管理機制。
事故之預防、通報及應變機制。
個人資料蒐集、處理及利用之內部管理程序。
資料安全管理及人員管理。
認知宣導及教育訓練。
設備安全管理。
資料安全稽核機制。
使用紀錄、軌跡資料及證據保存。
個人資料安全維護之整體持續改善。
依照個人資料保護法施行細則第12條規定,保障個人資料的「適當安全措施」,約可以分成技術上、組織上的措施,詳細規定於同條第2項中的11款事項中,如果企業有需要的話,可以酌量參考下述的方式來實行:
(1)應訂定與落實安全維護計畫
針對個人資料保護法施行細則第12條第2項的11款事由,訂定相關的安全維護計畫,甚至是於電子設備上加設安全防護系統或加密機制、紙本資料銷毀移除之程序,並請專職人員按時落實,視情況也應將安全維護計畫報請主管機關備查。
(2)對所屬員工之個資教育訓練
於蒐集、處理、利用、行銷個人資料時,應確實敦請專職人員落實個資法中的事前告知、按時回覆當事人詢問與要求、甚至依法主動刪除予停止利用之等等義務。
(3)定期檢視個人資料保有期限
應定期確認個人資料蒐集的目的,與相關的使用期限,若超過必要範圍內的保存期限,且同時沒有保存的必要時,應該立即主動刪除、銷毀、停止蒐集、處理、利用,或是為其他適當的處置。
(4)保存個人資料相關軌跡資料
因應個人資料保護法的損害賠償請求權,為客觀損害發生時起的5年內,於是建議企業應將個人資料利用的紀錄,至少保存5年以上,以便日後所舉證需求時,有證據可以使用。
服務電話:07-727-8008
服務信箱:wanghanyilawyer@gmail.com
服務地址:高雄市苓雅區永裕街42-12號1樓
連結網址:https://www.wlaw.tw/
The post 企業使用個資時的注意事項 appeared first on 民生電子報.