專責人員

一場精心排演的合規秀

我走進會議室時，桌上已經擺好三本厚厚的程序書、一疊教育訓練簽到表，還有一份剛印出來的個資盤點清冊。 負責人很自豪地說：「我們制度都建好了，文件也都有，每年也有辦教育訓練。」 我翻開程序書，問了一個問題：「這本程序書最後一次被拿出來用，是什麼時候？」

沉默。

這個場景，我這幾年做輔導時看過太多次了。醫學中心有，連鎖餐飲有，國際零售品牌有，非營利組織也有。差別不在產業，而在制度是不是平常就在跑。有些公司的制度是活的，碰得到、用得到；有些制度平常收在櫃子裡，等到稽核快到了才想起來。

問題是：你怎麼知道自己的制度屬於哪一種？

這篇文章不是法條逐條解說，也不是制度建置手冊。我只是想把自己在現場最常用的五個判斷點整理出來。你可以把它當成一面鏡子，照一下自己的制度目前到底是在運作，還是在撐場面。對 DPO（個資保護管理人／專責人員）、資安主管、法遵主管，或正在考慮把制度做起來的經營者來說，這五個問題都很實用。

...

在數位經濟時代，資料是企業最寶貴的資產之一，而個人資料的保護更是重中之重。隨著台灣《個人資料保護法》及各行業主管機關的法規日趨嚴謹，許多企業開始意識到，單憑IT部門的努力，已不足以應對複雜的個資保護挑戰。於是，「個人資料保護專責人員」、「管理人員」、「查核人員」這些名詞應運而生。

然而，許多企業主、法務、甚至IT人員，對於這三個角色的具體差異仍然一知半解：

• 這三個職位有什麼不同？可以由同一個人擔任嗎？
• 我們公司需要設立哪些職位？法規有強制要求嗎？
• 他們分別需要具備什麼樣的知識和技能（學能）？
• 如何從零開始，在企業內部建立起這套制度？

本文將為您徹底剖析這三個角色的本質區別，提供具體的建置建議，讓您一次搞懂企業個資保護的「治理鐵三角」。

...