-
個人資料保護專欄(二十五)-法規內容重點說明(三)
(1) 個人資料於組織流程之風險評鑑及因應對策:
為了評鑑出組織內所有流程中含有「個人資料檔案生命週期」之風險高低,並進而提出因應之改善對策,以消弭或降低組織於營運上之風險,而執行風險評鑑及因應對策應考量者為:
①. 法規、國家制定之規範要求或其他具有強制性之規範的建置及維護是為了不超過特定目的範圍:應有程序限制特定目的外之使用;
②. 應有程序得清楚鑑別每一個個人資料的生命週期所會產生之可能風險,分析並提出適當風險處置回應,並計算剩餘風險:
A. 風險評鑑及處置回應之程序應由國家制訂;
B. 每一個個人資料檔案生命週期均需獨立的接受風險評鑑、處置回應及剩餘風險計算;
C. 處置回應之手段應反映在相關規章中。
③. 風險評鑑之執行應視情況規劃定期及不定期執行:風險應經由預定的程序進行檢視。
(2) 投入必要資源:
對於建置個人資料保護管理制度,所需投入之必要資源宜有:
①. 對於每一位成員之功能及權責皆必須被清楚低決定並以書面記載:
A. 每一位成員之規定、責任及權責皆需被清楚低制訂;
B. 每一位成員皆需知曉自己及其他成員於個人資料保護組織之規則及權限;C. 經公司法所定義之審計、檢查專員及會計顧問不應參與個人資料保護組織。
②. 個人資料保護管理者需由事業代表人所遴選:個人資料保護管理者需由事業代表人所遴選;
③. 個人資料保護管理者應定期向事業代表人及個人資料保護管理組織定期報告制度執行狀況,以俾能定期檢視及改善個人資料保護管理組織;
④. 建置、維護個人資料保護制度,及個人資料保護情報、風險評鑑、安全控管以及事故預防與抑止之必要預算評核。
(3) 個人資料保護內部程序制定:
組織對於以書面制訂、維護內部管理程序時應包含下述內容:
①. 界定個人資料範圍;
②. 法規鑑別;
③. 風險評鑑、處置回應;
④. 個人資料保護管理組織;
⑤. 個人資料事故緊急應變處理程序;
⑥. 個人資料蒐集、處理及利用管理程序;
⑦. 個人資料之適當管理;
⑧. 當事人權利行使;
⑨. 個人資料保護管理教育訓練;
⑩. 個人資料保護文件管理;
⑪. 當事人訴怨、申訴管理;
⑫. 內部稽核管理程序;
⑬. 矯正及預防管理程序;
⑭. 管理審查會議;
⑮. 內部獎懲規範。
個人資料保護管理制度應定期的修訂,以期能因應組織實際營運的需求。
(4)教育訓練:
經由規劃的教育訓練,使基層員工、專責人員皆能接受適當的教育訓練,使其皆能對個人資料保護管理制度及相關法規有所瞭解,更進一步能將個人資料保護管理制度內化,以期降低組織於個資防護之風險,更能增加企業競爭力。
(5)個人資料保護管理制度推行運用:
藉由全面於組織內推廣個人資料保護管理制度,使員工皆能瞭解組織對於內部個人資料保護之規範需求,並養成於蒐集、處理或利用個人資料時,皆能以標準作業流程執行之。
(6)運用狀況查核及改善:
定期針對個人資料保護管理制度之審計與檢查實有其必要性,組織應至少每年執行查核一次,並針對查核的結果予以檢討及改善。而組織的審計或查核計畫,應經過事業代表人之核准同意。
(7)事業代表人之改善:
對於法規、命令、組織流程或內部程序文件的重大變更,或是上級機關之要求,以及內部資源配置管理、重大事故審議等重要事項的決議,皆應由事業代表人予以決定,以期對組織對於個人資料保護有所改善。