2012年9月6日 星期四

委託機關無個資應盡責任?



最近公司與某某超市接洽個資法因應事項,某某超市某處長回答:
該公司的網購是架構在YAX平台,而在公司網站所進行的網購活動,其購買資料及會員資料均由YAX負責。所以就現況來看,個資因應尚不需要特別有其動作。....

其實不是喔:
個資法第四條:受委託蒐集、處理及利用個人資料者,於個資法適用範圍內,視同委託機關。就是表示無論公家或非公家機關,既使委託他人處理個資,同樣受個資法規範。
白話點說:受委託蒐集、處理或利用個資之法人或自然人,仍應依委託機關應適用之規定為之,就是說,相關權責仍屬委託機關(委託機關為權責歸屬機關)。

舉例  之前某銀行委外作硬碟銷毀,但有未銷毀之硬碟流出  造成當事人損失
兆豐銀行被依舊版個資法及銀行法開罰200萬元。所以,個人資料責任歸屬   不會因為委託他人處理,就轉為向受委託機關究責,委託機關仍然受到法律規範。

個資法施行細則草案有一案例,A醫院委託B醫院進行某罕見疾病之病例分析、術後追蹤、新藥與療程技術開發等研究,B醫院受委託蒐集、處理或利用個人資料於本法適用範圍內,並依A醫院應適用新版個資法之相關規定為之,當事人如有行使本法相關權利時,應向委託機關A醫院為之。

另外,施行細則草案第八條:
委託他人蒐集、處理或利用個人資料之全部或一部時,委託人應對受託人為適當之監督。前項監督至少應包含下列事項:
一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。
二、受託人就第九條第二項應採取之必要措施。
三、有複委託者,其約定之受託人。
四、受託人或其受僱人違反個人資料保護法規或委託契約條款時,應向委託人通知之事項及採行之補救措施。
五、委託人對受託人保留指示之事項。
六、委託關係終止或解除時,個人資料載體之返還,及儲存於受託人持有個人資料之刪除。
第一項之監督,委託人應定期確認受託人執行之狀況,並將確認結果記錄之。
受託人僅得於委託人指示之範圍內,蒐集、處理或利用個人資料。受託人認委託人之指示有違反本法或基於本法所發布之命令規定之情事,應立即通知委託人。

所以,委託機關並不是沒事做   只是相關法規案例未出,大家以為沒事,還是要注意喔!

2012年4月14日 星期六

個資法第6條…模糊空間大 立委也抓狂《聯合新聞網》


個人資料保護法目前窒礙難行,根據立法院公報顯示,這項法案在國會審查過程中,朝野立委已針對行政院版本提出不少質疑,尤其第六條有關個人性生活不得蒐集、處理或利用的規定,當時的民進黨立委賴清德質疑「性生活」與「性行為」界定不明,有政府介入夫妻的性生活的疑慮。
對於個資法引起混淆的內容,賴清德當時說,若性生活指一段穩固關係所產生的性行為,這就不可以蒐集嗎?但是萍水相逢的一夜情,就可以蒐集?在場備詢法務部官員根本無法說明,只能推給日後在施行細則明定。
國民黨立委吳清池當時也提出,法務部是以防止電腦資訊詐騙的角度修法,但是修法卻綁死候選人,他舉例,碰到選舉期,候選人要取得選民姓名、電話、住址等,是否受個資法保護?他認為個資法應該排除選舉使用限制。可是,法務部一樣無法說明,只推給如果是經合法程序向電信公司索取個人已公開的資料,則可合法運用。
吳清池說,書面通知當事人,取得同意才能去拜票,根本就不可行,如果取得個資都必須當事人書面同意,大家都不必選了。
吳清池質疑,銀行移轉債權的催債者,是銀行以外的第三者,當取得資訊後,很容易把資訊流出去。尤其許多銀行轉讓債權,可是債務人並不知道,行使催債的人,又要如何證明自己是銀行的人?委託催收的人,不具備資格時,債權一再轉讓,會產生爭議。
當時的國民黨立委朱鳳芝認為,個資法沒有專責單位負責,政府機關會推來推去,她主張要有單一專責機關負責。法務部回答說,法律有點複雜,要找專責單位負責,可能有問題。朱鳳芝希望法務部負責,當時備詢的法務部次長蔡茂盛說,不敢說法務部可以負責,法務部不是主管機關,但會擔起職責。
國民黨立委謝國樑說,前立委邱毅揭發陳哲男與陳敏賢到韓國濟州島賭場照前,難道也要先通知兩位當事人嗎?他認為,立法是規範犯罪,不該連揭發犯罪的人一併規範到了。
謝國樑表示,個資法規定有行政檢查權,有侵入司法權的嫌疑,使用行政檢查權就可以到民眾家中,扣押帶回硬碟、電腦。在場的法務部官員都認為,確實是有爭議。 ...............................................................................................................................
註:《個資法》第6條:有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:一、法律明文規定。二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。三、當事人自行公開或其他已合法公開之個人資料。四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之辦法,由中央目的事業主管機關會同法務部定之。《個資法》第54條:本法修正施行前非由當事人提供之個人資料,依第九條規定應於處理或利用前向當事人為告知者,應自本法修正施行之日起一年內完成告知,逾期未告知而處理或利用者,以違反第九條規定論處。


資料來源:http://news.cts.com.tw/udn/politics/201204/201204120979014.html

2012年2月14日 星期二

個資法條文~整理(七)「個人資料完整性原則」

「個人資料完整性原則」相關法條:

11 條 公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請求更正或補充之。(11-1)

個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須並註明其爭議或經當事人書面同意者,不在此限。(11-2)

個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。(11-3)

違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。(11-4)

因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料,應於更正或補充後,通知曾提供利用之對象。(11-5)

2012年2月7日 星期二

個資法條文~整理(六)「當事人自主原則」

「當事人自主原則」相關法條:

3 條 當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:
一、查詢或請求閱覽。
二、請求製給複製本。
三、請求補充或更正。
四、請求停止蒐集、處理或利用。
五、請求刪除。

10 條 公務機關或非公務機關應依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本。但有下列情形之一者,不在此限:
一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。
二、妨害公務機關執行法定職務。
三、妨害該蒐集機關或第三人之重大利益。

11 條 公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請求更正或補充之。(11-1)

個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須並註明其爭議或經當事人書面同意者,不在此限。(11-2)

個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。(11-3)

違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。(11-4)

因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料,應於更正或補充後,通知曾提供利用之對象。(11-5)

13 條 公務機關或非公務機關受理當事人依第十條(當事人自主/查詢及更正原則)規定之請求,應於十五日內,為准駁之決定;必要時,得予延長,延長之期間不得逾十五日,並應將其原因以書面通知請求人。(13-1)

公務機關或非公務機關受理當事人依第十一條(當事人自主/查詢及更正原則)規定之請求,應於三十日內,為准駁之決定;必要時,得予延長,延長之期間不得逾三十日,並應將其原因以書面通知請求人。(13-2)

2012年2月2日 星期四

因應新版「個資法」已迫在眉睫!

立法院於99526日公布之「個人資料保護法」,參考亞太經濟合作論壇(APEC:Asia-Pacific Economic Cooperation )的隱私保護九大原則,其目的在保護國人個人隱私資料合理流通的原則下,取得平衡的衡量基準修訂重點包括擴大個人資料保護的範圍不再限制行業別、對於個人資料的蒐集/利用/處理有更明確的要求等等且對於中央及地方行政監督單位,有更明確的權利與罰則。
公司於「個人資料保護法」施行前,應研辦下列事項:依個人資料生命週期之蒐集、處理、利用國際傳輸等活動,將保有個人資料檔案名稱、存放位置或處置、保有個資檔案之依據及特定目的、個人資料類別等法定項目查明清楚,並建立個資檔案清冊。相關個資分析與辨識需透過跨部的個資盤點作業,才能完整辨識出個資流程的管制點。
此外公司應訂定個人資料保護管理要點,而由公務機關指定「專人」辦理個人資料安全維護事項,非公務機關則應採行適當之安全措施,以防止個人資料被竊取、竄改、毀損、滅失或洩漏。針對當事人個資同意權之表示、請求權之行使,需設置「個資保護連絡窗口」或對應之回應計劃,以符合法令之規範。為協助制度的推行,建議應設置專責個資保護小組,並指定「召集人」,以便統一決策及執行。

圖1:個資管理系統前置作業流程(自行整理)

新版個資法正式施行時間,尚待行政院審核,目前各界對於施行細則草案仍有諸多討論,屆時新法實施後之企業緩衝期勢必將會調整,很有可能實際緩衝宣導期間將少於一年!所以,對於已具有ISMS架構之企業/組織而言,除了應加強涉及個人資料部分管理之有效性外,仍需同時檢視相關之技術配套措施是否足夠!至於未建立ISMS架構之企業/組織,建立一套符合法律規範及包含管理面與技術面之個人資料管理系統(PIMS),實屬燃眉之急啊!

圖2:個資管理系統前置作業流程
     (自行整理)
                                               導入

     個資保護管理系統   
                 補強

2012年1月31日 星期二

個資法條文~整理(五)「個人資料利用原則」

「個人資料利用原則」相關法條:

5 條 個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。

公務機關
16 條 公務機關對個人資料之利用,除第六條第一項(蒐集限制原則)所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者,得為特定目的外之利用:
一、法律明文規定。
二、為維護國家安全或增進公共利益。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
六、有利於當事人權益。
七、經當事人書面同意。

非公務機關
20 條 非公務機關對個人資料之利用,除第六條第一項(蒐集限制原則)所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:(20-1)
一、法律明文規定。
二、為增進公共利益。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
六、經當事人書面同意。

非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。(20-2)

非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。(20-3)

2012年1月24日 星期二

個資法條文~整理(四)「蒐集限制原則」

「蒐集限制原則」相關法條:

6 條 有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:(6-1)
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。

前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之辦法,由中央目的事業主管機關會同法務部定之。(6-2)

53 條 本法所定特定目的及個人資料類別,由法務部會同中央目的事業主管機關指定之。

公務機關
15 條 公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:
一、執行法定職務必要範圍內。
二、經當事人書面同意。
三、對當事人權益無侵害。

非公務機關
19 條 非公務機關對個人資料之蒐集或處理,除第六條第一項(蒐集限制原則)所規定資料外,應有特定目的,並符合下列情形之一者: (19-1)
一、法律明文規定。
二、與當事人有契約或類似契約之關係。
三、當事人自行公開或其他已合法公開之個人資料。
四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
五、經當事人書面同意。
六、與公共利益有關。
七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。

蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。(19-2)