2012年9月6日 星期四
委託機關無個資應盡責任?
最近公司與某某超市接洽個資法因應事項,某某超市某處長回答:
該公司的網購是架構在YAX平台,而在公司網站所進行的網購活動,其購買資料及會員資料均由YAX負責。所以就現況來看,個資因應尚不需要特別有其動作。....
其實不是喔:
個資法第四條:受委託蒐集、處理及利用個人資料者,於個資法適用範圍內,視同委託機關。就是表示無論公家或非公家機關,既使委託他人處理個資,同樣受個資法規範。
白話點說:受委託蒐集、處理或利用個資之法人或自然人,仍應依委託機關應適用之規定為之,就是說,相關權責仍屬委託機關(委託機關為權責歸屬機關)。
舉例 之前某銀行委外作硬碟銷毀,但有未銷毀之硬碟流出 造成當事人損失
兆豐銀行被依舊版個資法及銀行法開罰200萬元。所以,個人資料責任歸屬 不會因為委託他人處理,就轉為向受委託機關究責,委託機關仍然受到法律規範。
個資法施行細則草案有一案例,A醫院委託B醫院進行某罕見疾病之病例分析、術後追蹤、新藥與療程技術開發等研究,B醫院受委託蒐集、處理或利用個人資料於本法適用範圍內,並依A醫院應適用新版個資法之相關規定為之,當事人如有行使本法相關權利時,應向委託機關A醫院為之。
另外,施行細則草案第八條:
委託他人蒐集、處理或利用個人資料之全部或一部時,委託人應對受託人為適當之監督。前項監督至少應包含下列事項:
一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。
二、受託人就第九條第二項應採取之必要措施。
三、有複委託者,其約定之受託人。
四、受託人或其受僱人違反個人資料保護法規或委託契約條款時,應向委託人通知之事項及採行之補救措施。
五、委託人對受託人保留指示之事項。
六、委託關係終止或解除時,個人資料載體之返還,及儲存於受託人持有個人資料之刪除。
第一項之監督,委託人應定期確認受託人執行之狀況,並將確認結果記錄之。
受託人僅得於委託人指示之範圍內,蒐集、處理或利用個人資料。受託人認委託人之指示有違反本法或基於本法所發布之命令規定之情事,應立即通知委託人。
所以,委託機關並不是沒事做 只是相關法規案例未出,大家以為沒事,還是要注意喔!