個資法上路之後,各企業緊鑼密鼓的準備執行各項措施,來因應法律的規範,盡可能想降低風險,達到個資零外洩的願景。

不過,就算完善的教育訓練,再周延的防護措施,都有可能因為人為因素或是任何無法預期的原因而導致事故的發生。

所以,在個資法施行細則第12條11項安全維護措施中的第4項為「事故之預防、通報及應變機制」,也就是說,事故發生的時候,企業要有順暢的通報管道,並且知道該如何因應,最後必須要從事故中學到教訓,找出預防的方式。

可依風險評估結果制定通報應變程序

企業若已經執行過個資風險評鑑或是隱私權衝擊分析(Privacy Impact Assessment,PIA),就會了解可能會遭遇的風險,以及這些風險的嚴重等級,企業的個資專員、個資因應小組或是管理高層即可依據這些結果制定事故通報及應變的程序。

通報時須依照不同的情況通知相關的負責人員或是主管,而若是相關人員沒有接聽電話或是無法立即處理的話,就要馬上通知下一位相關的人員,此外,也必須視情況決定是否需通知管理高層。

依個資法的規範,事故發生時必須通知個資當事人

除此之外,根據個資法第12條的規定,公務機關或是非公務機關只要發生個資事故,必須以適當的方式通知個資當事人。也就是說,企業必須事先擬定對個資當事人的通報方式、作業流程以及通報的內容格式。另外,各企業還可留意中央事業目的主管機關的要求,一旦事故發生時,是否需要通報主管機關。

除了通知個資當事人之外,企業也要擬定事後的求償作業及補償的方式,展現出企業會積極處理的誠意,若是能將善後作業處理得宜,對於企業的形象也可以有所補救。

負責人員要確認事故發生的原因,並盡快控制事故情況

當事故發生時,相關的負責人員必須確認事故發生的原因為何、可能會造成的損害有多嚴重、損害的範圍有多大,然後立即找尋可因應的對策,來採取適當的安全維護措施,盡可能地控制事故情況,以防止損害持續擴大或避免發生二次損害。

而若是負責人員無法處理該次事故或是無法控制情況,就必須通知管理高層請求協助。事故處理過程,企業必須詳細記錄,以供日後中央事業目的主管機關行政檢查之需。

要從事故中學習,找出可行的預防措施

不論是個資專員、個資因應小組成員或是管理高層,在事故處理完後,都必須召開會議,檢討事故的來龍去脈,評估員工教育訓練是否足夠因應事故,在處理的過程中,有哪些環節是需要再改善的,或者是有無需要添購新設備的需求等等,從中記取經驗,思考可行的預防措施,並擬定個資安全維護的改善計畫,持續落實。而企業對於事故的處理、改善或是官司訴訟的法律問題,亦可尋求專業的顧問諮詢與協助。

另外,在BS 10012標準的條款4.13.6即針對安全事件管理提供了幾項參考處理程序,包括企業必須記錄每項安全事件是如何評估的、採取了哪些矯正措施,以及如何檢討事件累積經驗等,企業也可借鏡參考,訂定出最合適的作法。

事故的發生是無法預期的,企業只能盡可能的達到法規要求,善盡保護的責任。從發生的事故中學習經驗,妥善的處理事故的問題,並找尋預防的方法,讓外界相信企業還是有足夠的安全維護措施能夠保護好他人的個資。

 個資法安全維護措施4:事故之預防、通報及應變機制 

1. 依不同風險等級來制定通報應變程序和通報對象

2. 個資事故依法必須通知個資當事人

3. 從事故中記取教訓找出預防措施

4. 積極處理事故,若處理得宜,可補救企業形象

5. 可參考BS 10012英國個資保護標準4.6和4.13.6(c)條款

資料來源:iThome整理,2012年10月

相關報導請參考「因應個資法第一步:11項企業該做好的安全維護措施」


熱門新聞

Advertisement