理律法律事務所合夥律師曾更瑩表示,IT部門同仁透過「問對的問題」降低因為協助企業因應個資法帶來的困難。

就企業內針對個資保護的議題而言,IT部門可以做的事情大部分偏重在個資的「處理」上。

理律法律事務所合夥律師曾更瑩表示,個資的蒐集和利用大部分來自業務部門,如果企業指定IT部門為負責個資因應的部門,IT部門可以協助企業做好的部分,頂多就是落實後端的系統面和流程面的控管,但就個資保護的控管上,仍然不夠全面。

IT部門因為不是第一線蒐集個資的單位,IT部門往往只看到系統面的需求,而不理解第一線業務單位面臨的困擾。曾更瑩認為,IT部門和其他單位一定要能找出一個溝通的方式或介面,「真正做到讓彼此能理解彼此的想法和立場,」她說。

IT部門要學會問對問題

若以領域而言,曾更瑩認為,法務同仁要了解個資保護的IT控管流程,困難度遠遠高於IT部門同仁理解個資法的法律規範,以現實面而言,企業內委由IT部門負責因應個資保護議題,是可以理解的。

但是,曾更瑩建議,IT部門同仁應該要學會透過「問對的問題」降低因為協助企業因應個資上帶來的困難。

所謂「問對的問題」就是,當所有的資訊流到IT部門的時候,IT部門要詢問個資蒐集單位,了解包括蒐集個資前是否已經告知當事人、蒐集的個資來源、目的,個資保存期間以及誰有權存取這份個資等種種關鍵資訊。

此外,IT部門對於個資的國際傳輸與委外扮演很重要的角色,她提醒,個資不應該存放在對臺灣有敵意的地方,而個資進行國際傳輸時的安全性與彼此權利義務關係,也應該事先確認並釐清後才進行國際傳輸。「否則,企業很容易因此遭到主管機關的關切。」她說。


相關報導請參考「個資法不只是IT部門的事」

熱門新聞

Advertisement