個資法和舊法最大的不同在於適用範圍擴大,任何產業、個人或團體都納入規範。換句話說,人人都要接受個資法的規範,不是只有特定部門或特定產業才要了解個資法。

也因此,企業必須舉辦相關的教育訓練,讓員工人人了解個資法的觀念和與企業有關的法條內容,讓員工具備個資保護的觀念。在個資法施行細則第12條的11項安全維護措施中第七項更明定了企業必須落實「認知宣導及教育訓練」。

教育訓練的規模可大可小,從主管宣示,開會宣導,張貼標語、告示等,到定期或不定期舉辦訓練活動皆可。教育訓練的目的,不只是讓員工了解法條,更重要的是讓員工了解日常工作中處理個資的原則和態度,才能避免在無意中違法,要推動相關個資保護措施時,員工也才能了解這些措施的緣由,進而能有效執行。所有教育訓練活動都需有記錄備查。

在BS 10012英國個資保護標準中也有條款規定企業必須舉行教育訓練,條款4.1.2明定專責小組的監督人員必須對人員進行訓練及意識提升;條款4.3則提到,透過教育訓練後,讓所有人了解處理個資時清楚知道自己的職責。

為不同職務的員工規畫不同的教育訓練

企業在規畫教育訓練課程時,可以針對不同職務階層的員工,規畫和職務相符的課程內容,會比起一同接受教育訓練,有較好的成效。

例如可分為三個階層來規畫訓練內容。一、管理階層:應該了解法規遵循、違反法律的風險、自身職務有什麼責任、需要如何制定個資政策及保護制度等等;二、各單位部門:應該了解法規遵循及實務面該如何執行而不違法,例如:蒐集/處理/利用資料的合法性等;三、資訊部門:應該了解法規遵循、如何利用IT技術實施安全維護措施……等等。

此外,教育訓練的師資需要嚴格的挑選,企業可指派人員到專業機構受訓,像是資策會、中華民國資訊軟體協會、BSI英國標準協會等皆有開設個資培訓課程,培訓完成後可以成為企業內部的種子講師。或者,企業可委由相關的專業機構定期或不定期舉辦訓練活動。此外,各中央事業目的主管機關不定期也會舉辦個資相關的說明會,企業亦可派員前往學習。

然而,為了日後行政檢查所需以及提供員工查閱,企業應妥善的保存教材,不論是電子檔、紙本文件或是錄音錄影,都應該存留。而存放的地方也應公告讓每個員工都知道,這些資料文件放置於何處,該如何查看。

用個資考試檢驗教育訓練成效

舉辦教育訓練的目的是為了讓全體員工清楚了解個資法是什麼,有什麼樣的法規要求,面對訴訟時企業有什麼責任或是可能遭受的刑罰,該如何在合法的範圍下執行相關的業務,以及如何利用IT技術來符合法律規範。在教育訓練後,企業不妨舉行個資考試,透過考試來檢驗該次教育訓練是否有效地將教育訓練的內容傳達給員工,員工也是否了解這些課程資訊與相關規範。

多次的教育訓練後,這些內容期望能成為員工意識的一部份,讓他們了解個資管理是企業核心價值之一,才能讓企業在面對個資法,做好法律要求,落實資料保護及降低個資外洩風險。

教育訓練後舉辦個資考試,評量教育訓練的內容是否有效的傳達給員工。

 個資法安全維護措施7:認知宣導及教育訓練 

1. 用教育訓練讓員工了解日常工作處理個資的態度和原則

2. 可依不同職務規畫不同的課程內容

3. 教育訓練內容和實施記錄要保存備查,訓練教材也要對內公開

4. 可用個資考試來檢驗教育訓練成效

5. 可參考BS 10012英國個資保護標準3.5、3.7(a)、4.3條款

資料來源:iThome整理,2012年10月

相關報導請參考「因應個資法第一步:11項企業該做好的安全維護措施」


熱門新聞

Advertisement