個資保護暨民事行政爭訟


關於版主
站內搜尋 Search

專業部落格 Blog

全域分類 Menu

益思

2011/11/20 19:29
個資法即將施行,企業自我評量及個人資料盤點!

各位益思的朋友大家好!

 

感謝各位長期對本所的支持與愛護。2010 年立法院三讀通過新版個人資料保護法(以下稱「個資法」),因尚需配套的行政法令,目前尚未施行;但法務部已於 2010 年 10 月 27 日公告施行細則草案,可以預期明年將開始全面實施。

 

此次個資法的修正相當全面而廣泛,不僅對於原先未適用個資法的企業經營將產生重大影響,對於已適用電腦處理個人資料保護法之機關或行業,也會隨著新法的施行,而有遵循新的管制法規的需求。由機關或企業的角度來觀察,新版個資法包括「個資外洩之通知義務」、「提高法定賠償額」、「引進團體訴訟」等制度,讓消費者更容易進行法律追訴。此外,當企業違反個資法時,不但可能遭到高額的民事損害賠償請求,新版個資法亦有刑事責任的規範,對於特定違反個資法的行為還可能遭到刑事訴追,故對於個資法的施行,確實不容掉以輕心。

 

本所本於「預防法學」推廣的初衷,謹向諸位介紹此次個資法的修正重點(如附件一),並提出企業內部因應個資法施行,可透過事先自我評量及進行企業個人資料盤點(如附件二個人資料盤點表及填寫範例)之方式,降低個資法施行之衝擊與風險。若有任何個資蒐集、處理及利用方面的法律問題,歡迎透過下述方式與本所聯繫:

 

台北所:蕭家捷律師(02-27723152-221;mustory@is-law.com

高雄所:張啟祥律師(07-3357331;eric@is-law.com


 

 

一、個人資料保護法修法重點介紹

 

1.      個資範圍擴大,不再限制適用行業別

 

此次修正重點之一,可由名稱的改變得知,即受到保護的個人資料範圍,由過去的經電腦處理,擴大到新法的一切個人資料相關資訊。此外,新法也刪除了過去非公務機關行業別的限制,新法將所有的自然人、法人或其他團體通通納入規範範圍內。無論是對內員工個人資料,或是對外會員或消費者的個人資料,都適用個資法規範,現代企業幾乎不可能脫離個人資料的蒐集、處理或利用,故企業必須在正式施行前即著手因應,以避免施行後產生更高的法規遵循成本。

 

2.      增修行為規範

 

新法將醫療、基因、性生活、健康檢查及犯罪前科等個人資料定義為「特種資料(敏感性個人資料)」,此類特種資料不僅於蒐集、處理或利用有較一般個人資料更嚴格的規範,且依新法第 6 條之規定,除符法定要件等原因外,此類資料更是原則上禁止蒐集、處理或利用。

 

另外,新法亦規定所謂當事人同意其個人資料被蒐集、處理或利用的的「書面同意」,必須要是蒐集者向當事人告知「本法所定應告知事項」-即蒐集者名稱、蒐集目的、資料類別、利用方式、資料來源等相關事項後,所為書面允許。且如係於特定目的外利用個人資料,而需當事人之書面同意時,亦不得以概括方式取得其同意,而應另外取得當事人之單獨書面同意,以確保當事人之權益。此處的「單獨書面同意」依據施行細則草案的規定,並不是要求蒐集者應提出「另一份」個人資料蒐集同意書,而是要求個人資料蒐集者應於適當的位置,使當事人知悉個人資料蒐集之相關內容後並確認同意。

 

為尊重個人生活,減少不必要之干擾,新法規定利用個人資料行銷商品之公司,不論該行銷屬於特定目的之內外,皆應於首次行銷時免費提供當事人表示拒絕之方式,如當事人向公司表示拒絕接受行銷者,應即停止利用其個人資料行銷,以尊重當事人之權利。

 

3.      強化行政監督

 

為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,新法賦予中央目的事業主管機關或直轄縣市政府,於合乎比例原則之範圍內,得派員攜帶執行職務證明文件進入檢查。

 

4.      強化個資當事人權益,降低訴訟成本

 

過去舊法時期雖已有當事人對蒐集者提起損害賠償之相關規範,惟因提起訴訟成本較高,造成個資相關權益受侵害之當事人提起訴訟之意願較低。新法仿效消保法,新增符合規定之財團法人或公益社團法人得提起團體訴訟之規定,當事人僅需參與由符合資格之團體所提起之團體訴訟,無須額外耗費勞力時間費用,因此我們預料於新法施行後,因個人資料相關問題所引起之訴訟將遠高於舊法時期。

 

此外,新法提高基於同一原因事實應對當事人負損害賠償責任之總額至新台幣 2 億元,甚至如因該原因事實所涉利益超過新臺幣 2 億元者,可更提高至以該所涉利益為限至數額,並可依情節科處 5 萬至 50 萬元之罰鍰,對持有廣大個人資料之企業而言,法律風險之增加不言而喻。

 

二、公司自我評量

 

為因應新版個人資料保護法之施行,本所建議企業可把握施行前的時間,預先針對企業個人資料進行盤點,做好相關調整準備,除避免相關責任外,更可透過主動因應個資議題,強化企業的形象,建立客戶的信心。

 

1.      盤點既有個人資料檔案資訊

 

企業過去所取得之個人資料,亦屬新法對個人資料檔案保護之範圍,因此對於既有個人資料檔案相關資訊之掌握,將是做好個人資料法律風險預防重要而不可或缺的一步。企業就此類資訊掌握須注意之部分應包括法令遵循、個人資料檔案清冊與作業流程。

 

就法規遵循部分,企業應確定現行有關個人資料之蒐集、處理及利用行為,是否符合新法規範?倘本即適用電腦處理個人資料保護法,原有之告知、同意等,是否符合企業後續個資利用之需求?就個人資料檔案清冊部分,企業是否已將個人資料檔案至做為清冊或建立資料庫,或是否有任何之機制,得以清查整理所持有之個人資料檔案?就作業流程部分,企業是否已準備好個人資料檔案之蒐集、處理與利用制之各類作業流程?

 

2.      制度化的個人資料保護與管理

 

企業就個人資料保護與管理,於企業內部是否已有制度化之保護與管理架構?例如:是否有專責配置之個人資料保護與管理人員,或成立跨部門之個人資料之保護與管理小組?負責個人資料管理之人員是否對公司重要事物具有決策能力或可向公司決策階層負責?公司是否已提供必要之資源以維護各項制度及個人資料之保護與管理?例如:提供員工個人資料教育訓練課程、培訓專責資安及個資處理人員等。

 

3.      明確個人資料檔案之蒐集處理與利用依據

 

企業是否對於所持有之個人資料之蒐集、處理與利用之環節逐一進行分析,以確保各階段行為皆符合法律規範?對於新法施行前已蒐集之個人資料,無論為直接或間接蒐集,是否已評估施行後之利用是否符合法律規範?企業內部是否有適當程序確保員工所得接觸或持有之個人資料檔案,皆僅於蒐集時之特定目的範圍內為利用?若涉及特定目的外之利用,是否可能取得書面同意?亦或可以經評估放棄該等特定目的外之利用?

 

4.      確保當事人權利

 

新法賦予當事人要求閱覽、複製、更正、補充、刪除其個人資料之權利,企業是否已設立相關程序或窗口,可供當事人行使前開權利?當事人行使前開權利時,因應之處理方式?如何評估當事人之要求是否合理及企業應採行之應對話術?例如:當事人要求刪除全部個人資料,客服人員應如何回應與處理始符合企業需求,並平衡當事人之權益?如當事人之資料有錯誤或變動時,企業是否有程序得以盡快掌握並主動更正;於特定目的消失或實現屆滿時,企業是否有適當程序確保該個人資料將在適當期間內被停止蒐集、處理、利用或刪除、銷毀等?或是企業是否已主動與當事人約定使用或保留期限?

 

5.      適當的風險控管與安全措施

 

對於所持有的大量個人資料,企業是否已訂定相關程序以確保於蒐集、處理與利用過程中,僅有特定之人員得已接觸,且有適當之程序以避免資料於蒐集、處理或利用過程中遭竄改、遺失或洩漏?雖然看似與資安議題相同,但實則就其本質上之差異。資安通常著重在被動的防護,但個人資料則是經常性的在企業經營的各個環節被利用,資安產品無法確保個人資料的流出,重點還是在於涉及個人資料議題時,企業各項內部標準作業規範的建立與維持。

 

以上各項內部自我評量內容,對於過去於舊法時期並非受到列管之一般公司而言,或許較為困難而難以著手實施。因此本所於信末提供個人資料盤點表(含填寫範圍)一份予諸位。諸位可嘗試結合 貴公司實際經營狀況進行調整。相信透過參與蒐集、處理或利用個人資料相關人員填寫個資盤點表的過程,除可初步清查公司內部所持有之各種個人資料檔案,評估個人資料檔案維持之必要性及安全性,刪除與整理已無利用意義或風險過高之個人資料,更能建立接觸或處理個人資料相關同仁對於個人資料議題的敏感度,相信將對諸位協助任職單位因應明年個人資料保護法新法的施行有所助益。

 

如有任何個人資料保護法相關問題或個人資料盤點表填寫的問題,亦請不吝與我們聯絡,再次感謝大家,也歡迎大家將此一訊息轉寄予您認為有需要的朋友。

益思科技法律事務所

台北所:蕭家捷律師(02-27723152-221;mustory@is-law.com

高雄所:張啟祥律師(07-3357331;eric@is-law.com

個人資料盤點表填寫範例下載 

 


Copyright IS-Law.com
由 蕭家捷律師 發表於 個資保護暨民事行政爭訟 | 引用 (0) | 閱讀(8566)