我目前協助公司導入個資法的一些參考做法
其實現在很多人都把個資法這個東西無限上綱的宣傳,事實上沒這麼恐怖。
我公司目前也在導入個資法的一些管理辦法, 你可以掌握幾個重點:
- 先請高層主管以及一名法務人員擔任個資管理組織的負責人與仲裁人,並且擬定具體辦法
- 各單位指派一名副主管參加 (通常副主管大多對組織內的事務熟悉,但是又不像主管需要忙很多事)
- 把要保護的個資分成四種人的個資: 員工、客戶、股東、消費者
- 思考一下這四種人的個資保護資料會出現在公司裡的那些單位? 有哪些人會接觸?
有哪些 電子化的個資資料以及非電子化的個資資料(要符合法規內的規定)
重點是你的資訊系統產生的稽核報表要能針對一個行為顯示人、事、時、地、物等資訊,而且產出的稽核證據必須符合司法數位鑑識上的不可修改性。
接下來要證明 相關的主管 "看過" 或 "批示" 過這些證據,而且你的方式要能夠具體證明這些主管的 "看過" 或 "批示過" ,才能代表貴公司對個資保護善盡管理責任。
個資盤點不是請各單位開會報告,這樣很沒成效而且惹人厭。
具體的做法這裡不方便說, 有廣告嫌疑, 總之很多方式可以幫你做到有力的證明。
- 針對電子化的資料導入適當的管制系統(避免廣告,不詳細說明)
非電子化的資料要列入管制編號與人為管制作為, 如果貴公司有稽核室的話,兩者可納入內稽內控制度。
通常稽核主管出來講話時,大家不敢不聽話。
千萬不要把全部的精力資源放在如何防堵資料的外洩上,防堵的方式以重點管制就可以,真的有人故意要外洩,你防不勝防的。
而是要把精力與資源放在證明貴公司沒故意外洩個資。