Thomas Wan
作為一個協助過7個政府部會局處, 執行過行政檢查的小兵兵. 剛在航道上突然發現, 原來現在這麼多坊間顧問在傳授數位經濟產業的個資行政檢查的對應經驗, 一方面我是認為政府的透明度很重要. 另一方面沒想到行政檢查被人拿出來研究當成因應對策, 我認為最好的凍應就是好好落實, 然既然如此, 我就說說哪些是數位經濟產業常發生的忽略導致個資外洩的部分.
第壹步, 請檢視貴公司的隱私權政策或個人資料保護聲明
常例是一般就把網站的隱私政策當成公司全部的隱私權政策, 當然因此範圍涵蓋上就不足以包含所有搜集個資的範疇, 當然公司備有網站的隱私權政策,又有另外的個資保護政策則不在此限. 無論如何, 企業個人資料保護, 其實是所有員工的事情, 所涵蓋的範圍也該及於全體公司因特定目的所收集的所有個人資料. 這是常見的第一點誤失.
通常這是出現在沒有一個中控的個人資保護或管理機制. 所以組織設計與範圍確定很重要.
另外常見的狀況就是, 這類的政策聲明, 要不就是*只有*律師看過,業務單位沒有看過, 要不就是只有*資安/資訊* 看過, 然法務沒有看過. 總歸就是寫成一本條文, 要不就是一防駭手冊, 這次數位發展部很貼心的是有樣本的, 總歸要寫成一本讓人看得懂如何管理使用保護與讓當事人履行個資權利義務的SOP才好.
有時候律師也沒有個資保護的專業 (believe or not, 術業有專攻),譬如我遇過幾乎每個陪同律師都踩雷的, 就是第四條.委託或附委託, 我國個人資料管理的最容易疏忽的就是此點. 一般我們一定會去看受委託機關所在地/國的個人資料保護規範有沒有不低於我國. 律師這一點一定要幫客戶看到.
另外一則就是受託單位所在國的個人資料保護委員會的公告, 有無要求是與我國的規範 (國發會網站必看) 或公告互斥. 或是人家有沒有宣告委託機構有沒有出過資料外洩或被處罰的. 這一點也是作為好好上過個資法課程的我一定會詢問的XD
這裡才是正開始, 但也是最容以起手式容易忽略之處.
接下來就是重頭戲 - 特定目的. 這裡一定要傳遞一個概念. 什麼叫做「特定目的限縮」, 這個概念對應到保護面就是「資料最小化原則」
限於篇幅就下篇續講了.
' xlink:href='%23b'/%3e%3cuse fill='black' filter='url(%23c)' xlink:href='%23b'/%3e%3cpath fill='white' d='M12.162 7.338c.176.123.338.245.338.674 0 .43-.229.604-.474.725a.73.73 0 01.089.546c-.077.344-.392.611-.672.69.121.194.159.385.015.62-.185.295-.346.407-1.058.407H7.5c-.988 0-1.5-.546-1.5-1V7.665c0-1.23 1.467-2.275 1.467-3.13L7.361 3.47c-.005-.065.008-.224.058-.27.08-.079.301-.2.635-.2.218 0 .363.041.534.123.581.277.732.978.732 1.542 0 .271-.414 1.083-.47 1.364 0 0 .867-.192 1.879-.199 1.061-.006 1.749.19 1.749.842 0 .261-.219.523-.316.666zM3.6 7h.8a.6.6 0 01.6.6v3.8a.6.6 0 01-.6.6h-.8a.6.6 0 01-.6-.6V7.6a.6.6 0 01.6-.6z'/%3e%3c/g%3e%3c/svg%3e){kind=small}
All reactions:
Like
Comment