有了專人負責個人資料管理業務後,下一個必要進行之步驟是機關個人資料『適法性分析』。所謂『適法性分析』簡單來說,就是依據機關所被賦予之職權或應盡之義務中,到底可以『合法』接觸個人資料到什麼地步。這是一個準備動作,用意是為了後續在開始制定個人資料管理機制時,可以省略這些已經法定授予的權利,專心去處理非法定授權的個人資料。當然,這就要機關個業務負責人自己進行,也只有業務負責人才知道該項業務受哪些法令規範,例如:勞動基準法。後續在完成實際個資盤點後,兩相比對,即可找出兩者之差異,機關再專注在差異部分即可,而已符合的部分可以用機關內部的管理辦法進行約束,並透過定期稽核,保證被授權使用之個人資料可以繼續合法使用。
機關蒐集、處理或利用個人資料之法定職務或法定義務之依據
此處需找出該產業所適用之法律,例如:『戰略性高科技貨品輸出入管理辦法』、『電子簽章法』、...等,以及一般通用之法律,例如:『勞動基準法』、『公司法』、...。此處所列,須是機關為執行法定職務或履行法定義務之法律,也就未來在處理個資時,凡適用這些法律的,就勿需再進行告知、取得同意、...等作業。
範例:
|
項次 |
法律名稱 |
個人資料內容 |
|
1 |
勞動基準法 |
員工之勞動名卡 |
|
2 |
勞工安全衛生法 |
用員工之『健康檢查資料』 |
|
3 |
職工福利委員會組織準則 |
職工福利委員會之委員名單 |
|
4 |
公司法 |
股東資料 |
|
5 |
公司法 |
董監事資料 |
|
6 |
勞工保險條例施行細則 |
生育給付申請書 |
|
7 |
勞工保險條例施行細則 |
嬰兒出生證明書 |
|
8 |
勞工保險條例施行細則 |
戶籍謄本 |
|
9 |
勞工保險條例施行細則 |
傷病給付申請書 |
|
10 |
勞工保險條例施行細則 |
傷病診斷書 |
|
11 |
勞工保險條例施行細則 |
失能給付申請書及給付收據 |
|
12 |
勞工保險條例施行細則 |
失能診斷書 |
|
13 |
勞工保險條例施行細則 |
檢查報告及相關影像圖片 |
|
14 |
勞工保險條例施行細則 |
檢查紀錄 |
|
15 |
勞工保險條例施行細則 |
診療病歷 |
|
16 |
勞工保險條例施行細則 |
失能年金加發眷屬補助申請書及給付收據 |
|
17 |
勞工保險條例施行細則 |
學費收據影本或在學證明 |
|
18 |
勞工保險條例施行細則 |
身心障礙手冊或證明,或受禁治產(監護)宣告之證明文件 |
|
19 |
勞工保險條例施行細則 |
死亡證明書、檢察官相驗屍體證明書或死亡宣告判決書 |
|
20 |
勞工保險條例施行細則 |
戶口名簿影本 |
|
21 |
勞工保險條例施行細則 |
身分證影本 |
|
22 |
勞工保險條例施行細則 |
受被保險人扶養之相關證明文件 |
23 |
勞工保險條例施行細則 |
金融機構帳戶 |
|
24 |
勞工保險傷病給付申請書及給付收據 |
駕照影本 |
|
25 |
勞工保險傷病給付申請書及給付收據 |
目擊者證明書 |
|
26 |
勞工保險家屬死亡給付申請書及給付收據 |
居留證 |
|
27 |
勞工保險家屬死亡給付申請書及給付收據 |
護照影本 |
|
28 |
勞工保險條例 |
辦理勞保 需提供個人資料申報勞工保險:加保申報表範例(勞保、健保及勞退3合1表格) 1.投保人姓名 2.受保人身份證號碼 3.投保人生日 4.投保人勞保月投保薪資、全民健康保險投保金額 5.投保人眷屬姓名 6.投保人眷屬身份證號碼 7.投保人眷屬生日 8.投保人眷屬勞保月投保薪資、全民健康保險投保金額 |
|
29 |
全民健康保險法 |
辦理健保 需提供個人資料申報健康保險:全民健康保險保險對象投保申報表 1.投保人姓名 2.受保人身份證號碼 3.投保人生日 4.投保人眷屬姓名 5.投保人眷屬身份證號碼 6.投保人眷屬生日 |
1. 機關蒐集、處理或利用個人資料之必要性:
此處須說明機關蒐集、處理或利用個人資料之必要性,例如:購務網站業者與人力銀行業者蒐集個人資料是其公司章程內的首要目的,沒有這些個人資料,這些業者將沒有辦法進行任何的營運行為。而路邊攤面對的主要是來來往往的消費者,採當場銀貨兩訖,就較無個人資料蒐集、處理或利用之問題。說明必要性是為了提醒機關:不必要的個人相關行為最好是能避則避。
範例:
本公司主要專事生產高科技電子元件,不以蒐集、處理與利用個人資料為營業目的。故所蒐集、處理或利用之個人資料主要為履行法定義務。
2. 主管機關對個資之相關規定
中央目的主管機關對於該產業是否有專屬之個人資料相關法規,例如:『電信業及傳播業受理當事人查詢或請求閱覽個人資料或製給複製本收費標準』。
範例:
主管機關目前無對本產業有個人資料之相關規定,若未來有新增之法規,本公司將依法遵循,並調整公司內部之個人資料管理機制。
2.1. 組織適用之特定目的
個人資料保護法規定蒐集、處理個人資料一定要有特定目的,目的是要個人資料能被合理使用,故組織應詳細檢視公司組織章程以及營運項目,找出可以使用之特定目的。
範例:
8○○二:人事管理
8一八一:其他經營合於營業登記項目或組織章程所定之業務
2.2. 個資蒐集、處理與利用程序違反,可能導致行政處罰之行為
此處是條列機關可能違反個人資料保護法有關個資蒐集、處理或利用之處,據以在後續制定個人資料管理機制時,能明文規範合法之作業程序。
範例:
8未依規定蒐集個人資料(含告知個資當事人)
8未依規定處理個人資料
8未依規定利用個人資料
8未妥善保管個人資料
8未依規定提供當事人行使個資之權利
8未依規定對個資委外作業進行必要之監督
2.3. 違反個資保護規定,足生損害於他人,或意圖營利或為不法之利益,損害個人資料檔案之正確,導致刑事處罰之行為
條列如果違反個人資料保護法規定,而對所保管之個人資料當事人產生傷害,所可能面臨之罰則。當然,這也是用來嚇嚇機關高階主管以及那些有心非法使用個人資料之人員。
範例:
8刑事責任:
Ø 無正當理由蒐集特種個資(§6-1)
Ø 公務機關蒐集、處理個資資料違背規定(§15)
Ø 公務機關利用個人資料違背規定(§16)
Ø 非公務機關蒐集、處理個人資料違背規定(§19)
Ø 非公務機關利用個人資料違背規定(§20-1)
Ø 中央目的事業主管機關限制國際傳輸而違反(§21)
Ø 意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確(§42)
8行政責任(罰鍰):
Ø 無正當理由蒐集特種資料(§6-1)
Ø 非公務機關蒐集、處理個人資料違背規定(§19)
Ø 非公務機關利用個人資料違背規定(§20-1)
Ø 中央目的事業主管機關限制國際傳輸而違反(§21)
Ø 向當事人或非當事人蒐集個人資料時,未履行相關告知義務(§8, §9)
Ø 拒絕、遲延當事人查閱、副本給予、更正、補充之請求(§10, §11, §13)
Ø 個資被竊取、洩露、竄改或其他侵害者,未通知當事人(§12)
Ø 個資於蒐集目的外之利用,經當事人表示拒絕接受而繼續(§20-2)
Ø 個資於蒐集目的外之利用,未提供當事人拒絕接受機會(§20-3)
Ø 未採行適當之安全措施或訂定個資檔案安全維護計畫等(§27-1)
Ø 規避、妨礙或拒絕中央目的事業主管機關或直轄市、縣(市)政府進入、檢查或處份非公務機關(§22-4)
2.4. 個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,遭致損害求償之可能性評估
個人資料保護法已明確規範個資當事人受損害時可以求償之機制與金額。此處需條列出機關持有之個人資料類別,以及可能違法之風險(詳細之衝擊與風險分析在後續章節會提到),提醒所有機關之人員,該盡力保護組織所持有之個人資料。
範例:
8本公司目前持有之個人資料區分:
Ø 員工個人資料
Ø 員工健康檢查資料
Ø 股東個人資料
Ø 求職者個人資料
Ø 董監事成員個人資料
Ø 客戶個人資料
Ø 廠商個人資料
Ø 員工申請勞保相關給付之紙本文件
8本公司非蒐集大量個人資料之機關,可能遭遇之侵害個資當事人權益情況如下:
Ø 外部惡意程式入侵本公司資訊平台,盜竊本公司所持有之個人資料:可能性為『中等』
Ø 公司員工惡意盜竊本公司所持有之個人資料:可能性為『中等』
2.5. 國際傳輸之限制
屬於跨國性之機關需注意中央目的事業機關對於個人資料國際傳輸之限制,尤其對那些設址於個人隱私保護不週之區域或國家者。
範例:
8主管機關未規範
8本公司亦無個人資料國際傳輸之需求
2.6. 援引符合個資法規定之例外條件
機關在蒐集、處理或利用個人資料時,是否有符合例外狀況之條件存在。此處列舉這些條件,一則是減少未來各類個資行為之複雜度,一則也是提醒機關,是否有誤用例外條件之情況,以避免觸法。
範例:
8無
留言列表
