因應個資法第一步:11項企業該做好的安全維護措施
個資法來了,個資法從10月1日開始正式實施,除了規範特種個資不得利用的第6條,以及間接蒐集個資1年內告知的第54條,這兩條暫緩實施,等待修法以外,其餘條文都正式實施。未來不分產業,公家機關或是私人企業,甚至是每一個個人,也不管儲存在紙本或是電子形式的個人資料,都需受到個資法的規範。法務部也在9月26日公告了個資法施行細則,並同步於10月1日實施,沒有緩衝期。個資法施行細則第12條第2項明定了,企業為保護個資得落實的安全維護措施有11項,這也是企業因應個資法時要做好的11件事,對於尚未著手因應個資法的企業來說,這也是可以優先推動的項目。
企業因應個資法該做的維護措施1:配置管理之人員及相當資源
個資法施行細則中第12條明定了企業得施行的11項安全維護措施,其中第一項為「配置管理之人員及相當資源」。不論是管理人員或是個資因應小組,為了因應個資法,指派相關的負責人員是企業該執行的第一步
企業因應個資法該做的維護措施2:界定個人資料之範圍
「界定個人資料之範圍」,所代表的意思就是常聽見的個資盤點。個資盤點是非常重要的,而且必須仔細執行。若沒有徹底盤點清楚,那些沒有發現來納入管控的個資,很容易發生外洩
企業因應個資法該做的維護措施3:個人資料之風險評估及管理機制
企業要先找出所有個資並識別其價值,評估可能會遇到的風險,分析風險發生的機率與對企業影響的程度,再依據管理高層訂定的風險接受準則(Risk Acceptable Criteria),來實施相關的處理措施降低風險
企業因應個資法該做的維護措施4:事故之預防、通報及應變機制
就算教育訓練再完善,防護措施再周延,都有可能因為人為因素或是任何無法預期的原因而導致事故的發生。所以,事故發生的時候,企業要有順暢的通報管道,並且知道該如何因應,最後必須要從事故中學到教訓,找出預防的方式
企業因應個資法該做的維護措施6:資料安全管理以及人員的管理
透過個資盤點找出企業內部擁有個人資料後,就可以依據這些資料的敏感程度、風險程度來分類,再依此分類來採取不同的管理措施
企業因應個資法該做的維護措施7:認知宣導及教育訓練
人人都要接受個資法的規範,不是只有特定部門或特定產業才要了解個資法。因此,企業必須舉辦相關的教育訓練,讓員工人人了解個資法的觀念和與企業有關的法條內容,讓員工具備個資保護的觀念
企業因應個資法該做的維護措施10:使用紀錄、軌跡資料及證據保存
個資法明定被訴訟方必須提出證據,證明已善盡個資保護的責任,並沒有故意或過失洩漏他人個資,否則將承擔損害賠償的責任。企業為了日後行政檢查或是官司訴訟的舉證需求,必須妥善保存任何個資使用過程或因應作為所產生的記錄或資料