http://leohong.blog.ithome.com.tw/post/8674/172745
範例:
本公司主要專事生產高科技電子元件,不以蒐集、處理與利用個人資料為營業目的。故所蒐集、處理或利用之個人資料主要為履行法定義務。
範例:
主管機關目前無對本產業有個人資料之相關規定,若未來有新增之法規,本公司將依法遵循,並調整公司內部之個人資料管理機制。
2.1. 組織適用之特定目的
個人資料保護法規定蒐集、處理個人資料一定要有特定目的,目的是要個人資料能被合理使用,故組織應詳細檢視公司組織章程以及營運項目,找出可以使用之特定目的。
範例:
○○二:人事管理
一八一:其他經營合於營業登記項目或組織章程所定之業務
2.2. 個資蒐集、處理與利用程序違反,可能導致行政處罰之行為
此處是條列機關可能違反個人資料保護法有關個資蒐集、處理或利用之處,具以在後續制定個人資料管理機制時,能明文規範合法之作業程序。
範例:
未依規定蒐集個人資料(含告知個資當事人)
未依規定處理個人資料
未依規定利用個人資料
未妥善保管個人資料
未依規定提供當事人行使個資之權利
未依規定對個資委外作業進行必要之監督
2.3. 違反個資保護規定,足生損害於他人,或意圖營利或為不法之利益,損害個人資料檔案之正確,導致刑事處罰之行為
條列如果違反個人資料保護法規定,而對所保管之個人資料當事人產生傷害,所可能面臨之罰則。當然,這也是用來嚇嚇機關高階主管以及那些有心非法使用個人資料之人員。
範例:
刑事責任:
無正當理由蒐集特種個資(§6-1)
公務機關蒐集、處理個資資料違背規定(§15)
公務機關利用個人資料違背規定(§16)
非公務機關蒐集、處理個人資料違背規定(§19)
非公務機關利用個人資料違背規定(§20-1)
中央目的事業主管機關限制國際傳輸而違反(§21)
意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確(§42)
行政責任(罰鍰):
無正當理由蒐集特種資料(§6-1)
非公務機關蒐集、處理個人資料違背規定(§19)
非公務機關利用個人資料違背規定(§20-1)
中央目的事業主管機關限制國際傳輸而違反(§21)
向當事人或非當事人蒐集個人資料時,未履行相關告知義務(§8, §9)
拒絕、遲延當事人查閱、副本給予、更正、補充之請求(§10, §11, §13)
個資被竊取、洩露、竄改或其他侵害者,未通知當事人(§12)
個資於蒐集目的外之利用,經當事人表示拒絕接受而繼續(§20-2)
個資於蒐集目的外之利用,未提供當事人拒絕接受機會(§20-3)
未採行適當之安全措施或訂定個資檔案安全維護計畫等(§27-1)
規避、妨礙或拒絕中央目的事業主管機關或直轄市、縣(市)政府進入、檢查或處份非公務機關(§22-4)
2.4. 個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,遭致損害求償之可能性評估
個人資料保護法已明確規範個資當事人受損害時可以求償之機制與金額。此處需條列出機關持有之個人資料類別,以及可能違法之風險(詳細之衝擊與風險分析在後續章節會提到),提醒所有機關之人員,該盡力保護組織所持有之個人資料。
範例:
本公司目前持有之個人資料區分:
員工個人資料
員工健康檢查資料
股東個人資料
求職者個人資料
董監事成員個人資料
客戶個人資料
廠商個人資料
員工申請勞保相關給付之紙本文件
本公司非蒐集大量個人資料之機關,可能遭遇之侵害個資當事人權益情況如下:
外部惡意程式入侵本公司資訊平台,盜竊本公司所持有之個人資料:可能性為『中等』
公司員工惡意盜竊本公司所持有之個人資料:可能性為『中等』
2.5. 國際傳輸之限制
屬於跨國性之機關需注意中央目的事業機關對於個人資料國際傳輸之限制,尤其對那些設址於個人隱私保護不週之區域或國家者。
範例:
主管機關未規範
本公司亦無個人資料國際傳輸之需求
2.6. 援引符合個資法規定之例外條件
機關在蒐集、處理或利用個人資料時,是否有符合例外狀況之條件存在。此處列舉這些條件,一則是減少未來各類個資行為之複雜度,一則也是提醒機關,是否有誤用例外條件之情況,以避免觸法。
範例:
無
leohong
iThome鐵人賽
看影片追技術