個資法施行細則中第12條明定了企業得施行的11項安全維護措施,其中第一項為「配置管理之人員及相當資源」。此項和去年十月所公告的施行細則草案有些許的不同,從原本的「成立管理組織」修訂為只需「管理人員」即可。然而,不論是管理人員或是個資因應小組,為了因應個資法,指派相關的負責人員是企業該執行的第一步。

在BS 10012英國個資保護標準中,將這樣管理人員稱為個資管理代表人,也就是由這位人員統籌整個個資相關事項,負責各項個資保護程序的運作,有了專人,企業建置內部個資保護制度時可以較有效率也能有彈性。而管理人員與因應小組的角色有兩種,一種是負責制定企業內部個資政策亦同時要負責推動些程序的實施,另一種則是由高層訂定政策,因應小組只是負責執行。至於相關人員是否需要專職,目前在個資法中並沒有相關的規範,企業可依內部需求而定。

獲得高層支持最重要

然而,管理人員由誰出任並不是企業因應個資法最重要的關鍵,管理高層的態度才是。企業指派的管理人員必須獲得管理高層的支持,這個管理人員必須要有權、有人及有錢。有權才可以叫得動各部門或是各單位配合運作;有人才可以透過工作分配,推動各項相關程序的實施;有錢才有預算購買各項所需設備或是任何必要的資源。有的企業甚至將建置內部個資保護制度作為年度的營運目標之一,這樣會讓員工有著共同的追尋目標,也會讓管理人員或是因應小組在推動時較為順利。

有些公司像是臺灣安麗、PayEasy等企業的個資因應小組,是由總經理親自擔任召集人,這樣可以馬上針對作業流程或是各種衝突進行調整。況且,總經理握有公司經費及人事的支配權,能充分支援推動個資保護制度時需要的各項資源。

個資因應小組組成要跨部門

而個資因應小組的成員則應該涵蓋所有擁有個人資料的部門,像是人事部門、財務部門、總務部門、行銷部門、資訊部門、法務部門等等,尤其有高風險個資或是敏感資訊的部門及系統,更應該納進。而除了管理人員(個資管理代表)外,企業可參照BS 10012條款4.1.2以及4.1.3所要求的,指派幾位監督人員與建立資料保護代表人。監督人員負責每日監督企業遵循政策的狀況,並協助個資管理代表;個資保護代表人則是指各部門要有負責處理個資相關事項的窗口,並協助監督人員。

個資因應小組該做的事

至於個資因應小組該做的事,在BS 10012標準中有明定一些事項,企業可作為借鏡參考。個資因應小組應該以個資法、中央事業目的主管機關的規範與企業制定的個資政策為依據,制定一系列的個資保護制度推動計畫,從內部個資盤點開始,舉辦教育訓練讓員工了解相關法規及內部各項規範,提供內部單位有關個資法的各項建議與指引,然後審核部門擬定的各項處理程序,包括:隱私權聲明的管理和傳達、個資的搜集與處理利用、訴怨處理、安全事件管理、委外管理等等。此外,定期召開會議追蹤推動的進度,審查企業目前落實的情況,並且持續改善個資保護制度。

11項安全維護措施中,此項成立管理人員或個資因應小組是最為重要的,若沒有相關的制度規範,企業各部門單位因應個資的方式就會沒有統整的作法。管理人員及小組的目標就是期望能夠建置企業最適用的內部個資保護制度,確實的實施,並徹底的落實,確保各項業務流程在使用個資時不違背法規,保護內部個資不外洩,維護企業的名譽。

 個資法​安全維護措施1:配置管理之人員及相當資源 

1. 指派專人或成立因應小組皆可,成員要涵蓋擁有個資的部門

2.執行推動高層制定的個資政策或是同時負責制定企業個資政策與執行推動

3.最重要的是要獲得高層的支持以及有可支配的資源

4.長期任務是審視企業個資保護落實情況,持續改善個資保護制度

5.可參考BS 10012英國個資保護標準3.5、3.6、4.1條款

資料來源:iThome整理,2012年10月

相關報導請參考「因應個資法第一步:11項企業該做好的安全維護措施」


熱門新聞

Advertisement