個資管理
最好採組織化推行
黃永婷、李鳳儀/勤業眾信企業風險服務協理、副理
個人資料保護法於今年10月上路。無緩衝寬限期,且適用對象不侷限於八大民生相關產業。新版個資法及個資法施行細則最主要的改變為加重企業責任,包含:委外管理、企業內部個人資料保護管理措施、個資侵害舉證責任等,皆是新增的要求。
同時,增加企業內個資保護相關作業活動,應立即建立適當的個資管理組織推行,並確保個資保護觀念傳達給每個同仁。參考個資法、施行細則及相關個資保護參考指引,建議可從個人資料保護組織之必要角色和權責來思考:
{ 個人資料管理單位
依據個人資料保護施行細則第12條及21條,企業內應配置管理人員及相當資源。依據個資法第27條,亦有將企業內個人資料保護相關作業將展開成:維護企業內個人資料檔案清冊、進行個人資料風險評估、訂定企業內個人資料保護管理程序、實施個人資料認知宣導及教育訓練…等作業。
因此,個人資料保護應為企業整體活動,需有專責人員以企業整體為考量來規劃、帶領各單位執行個資保護管理活動。例如,企業應如何蒐全公司個人資料檔案清冊、建置哪些個人資料存取管控措施,如何調整委外契約以符合法規、建立客戶蒐集告知機制、留存客戶個資使用同意紀錄等,往往須透過企業跨單位共同討論,訂定對應方式。目前產業界主要從法務、風管與法令遵循、風險控管等相關單位選派適任之人,負責個人資料管理單位。
{ 個資管理召集人及個資管理委員會
個資法重視企業善良管理責任之展現,加重企業主的責任,在個資法第50條中要求「若公司個資管理不當,公司代表人、管理人或其他有代表權人受相同處罰」。
同時,個資保護作業因可能直接影響營運方式,在實施前後皆須呈報高階長官,確保企業內個資保護方向與目標一致。企業可依規模由第一、二級高階長官擔任召集人及高階管理團隊,透過定期會議管理審核作業,確保個資政策規劃執行、有效妥善配置資源、評估制度之適法性與合宜性等。
{ 個資管理代表
在各單位執行個資保護活動的種子人員也很重要,代表各單位相關個資管理溝通協調事宜,確認應遵循之事項。執行項目包含相關業務推動與執行、個人資料保護教育訓練實施等。
{ 客戶連絡窗口
新版個人資料保護法強化了對當事人的告知義務,如本法第12條要求「若有資料外洩情事,應查明後告知當事人」,因此可依據企業現況,若已有現有機制(如客服、客訴機制),可透過既有管道建立連絡窗口,負責接受當事人申訴與諮詢,若企業內未有類似角色,應最少建立一客戶聯繫管道,提供客戶針對該企業如何使用個人資料相關議題之諮詢。
{ 稽核小組
為了確認各單位個資管理落實程度、協助發現管控疏失、釐清疏漏根本原因,同時協助追蹤改善進行方式,企業可依循內部文化和既有機制選擇適當的個資稽核方式,如內部稽核或單位交叉稽核。
{ 個資侵害緊急應變處理組
疑似個資侵害事件發生時,企業內需快速掌控事件發生經過、進行調查評估,並於適當時間對內、外回應,建議平日即建立個資侵害緊急應變處理組。個資侵害緊急應變處理組應在考量事件管理、調查評估、公關媒體溝通等事宜,以完整涵蓋在侵害事件發生時所需進行之事項。
個人資料管理不僅是遵法議題,更是企業組織管理議題,其風險將影響到企業生存與品牌商譽,包含當事人權利展現議題、資料層面安全管控議題、個人資料風險管理議題,個資侵害緊急應變處理議題,需要企業投入適當資源、人力,並以並跨單位管理組織來規劃、執行並持續改善個人資料保護管理體系。
企業可透過上述個資組織角色權責檢視現況,確認在個人資料保護管理機制運行時,在企業內皆有對應的人員及單位,以落實個資保護管理並達成善良管理。
2012-11-30 工商時報
沒有留言:
張貼留言