一場精心排演的合規秀
我走進會議室時,桌上已經擺好三本厚厚的程序書、一疊教育訓練簽到表,還有一份剛印出來的個資盤點清冊。 負責人很自豪地說:「我們制度都建好了,文件也都有,每年也有辦教育訓練。」 我翻開程序書,問了一個問題:「這本程序書最後一次被拿出來用,是什麼時候?」
沉默。
這個場景,我這幾年做輔導時看過太多次了。醫學中心有,連鎖餐飲有,國際零售品牌有,非營利組織也有。差別不在產業,而在制度是不是平常就在跑。有些公司的制度是活的,碰得到、用得到;有些制度平常收在櫃子裡,等到稽核快到了才想起來。
問題是:你怎麼知道自己的制度屬於哪一種?
這篇文章不是法條逐條解說,也不是制度建置手冊。我只是想把自己在現場最常用的五個判斷點整理出來。你可以把它當成一面鏡子,照一下自己的制度目前到底是在運作,還是在撐場面。對 DPO(個資保護管理人/專責人員)、資安主管、法遵主管,或正在考慮把制度做起來的經營者來說,這五個問題都很實用。
...在執行個人資料盤點與適法性評估時,企業常習慣性選擇「當事人同意」作為法律依據。然而,依據《個人資料保護法》第19條,「與當事人有契約或類似契約之關係,且已採取適當之安全措施」 往往是更穩固且合適的選擇。
我們要回到個資保護最根本的邏輯:「合法性基礎」。非公務機關要處理個資,必須有一個合法的理由。這兩個條款代表了兩種截然不同的權利來源: 兩者差異的核心在於資料處理的驅動力:
在數位經濟時代,資料是企業最寶貴的資產之一,而個人資料的保護更是重中之重。隨著台灣《個人資料保護法》及各行業主管機關的法規日趨嚴謹,許多企業開始意識到,單憑IT部門的努力,已不足以應對複雜的個資保護挑戰。於是,「個人資料保護專責人員」、「管理人員」、「查核人員」這些名詞應運而生。
然而,許多企業主、法務、甚至IT人員,對於這三個角色的具體差異仍然一知半解:
本文將為您徹底剖析這三個角色的本質區別,提供具體的建置建議,讓您一次搞懂企業個資保護的「治理鐵三角」。
...這幾年因為疫情的因素,每個人的個人資料基本上已經沒有什麼隱私可言,除非不上街、不進商店購物買東西吃東西、不進公共場所。這也不能怪廠商或店家不好好的保護好我們的個資,其實每個人都在不經意的狀況下,同意了自己的個資同意作自己不想的方式利用。
我個人從事個人資料保護的顧問,與大家不同的點在於,每一次按同意個資蒐集宣告時,都會很仔細的看一下內容與細節。在此作個系列文章,幫大家看平常略過的文件,說明裡面是否藏有貓膩。
...