個人資料保護顧問的旗艦店

業務永續經營管理(Business Continuity Management, BCM)是各類機關必須要有的一套機制，內容不外乎是當機關面臨某些不論是否為意料中之意外時（美國911恐怖攻擊事件在過去應該不是一種常被預測到的營運風險，但現在應該是各機關優先被考量的風險項目之一），機關該怎能作，才能在最短時間內，讓機關回復正常運作的一套機制。這中間包括各種風險之評估以及務實之演練。而個資事件也是其中一種營運風險，只是發生時影響的範圍可能會擴及組織外部之客戶或人員，但其對機關不論是有形還是無形之傷害都是一樣的。

個資事故之預防

8  機關本身對個資事故之預防：個資法施行細則規範之11項必要措施

8  機關如何預防受託者發生個資事故：

Ø   要求受託者執行11項保護措施

Ø   雙方所簽署之合約內容除了主要約定作業外，需明確載明雙方對個人資料檔案保護所需盡之責任與義務

Ø   要求受託者在本身發生個資事件時，除採取必要之應變措施外，亦需立即通報委託者，並將相關資料提供予委託者，以便雙方能共同因應個資事件

Ø   委託者需對受託者進行必要之監督

個資事故之應變機制

機關所持有之個人資料一旦發生，必須在最短時間內查明是否為誤植或確實是機關個資保護出現漏洞，並在最快時間內作出回應、通知當事者，若有必要，必須通報主管機關或當地縣、市政府。

整體應變機制的流程應為：

1       危害初步控管（終止或減緩個資事件持續擴大）

2       啟動組織內部通報機制

3       評估事件影響與衝擊程度

4       個資發生原因

5       資訊公開：

5.1     擬定對外說明文件（如果影響範圍擴及組織外部人員），內容需包括：

5.1.1防止再發所採行之措施

5.1.2誠摯負責到底之態度

5.1.3發生之原因

5.1.4補償機制（確定由機關本身疏失時才需要）

5.1.5機關對外聯繫窗口與聯絡方式

5.2     通報個資當事人（如果影響範圍擴及組織外部人員）以及必要之主管機關

6       事件處理分析報告，經機關決策主管核覆，以確保事件已完整結案

7       將事件所有處理經過以及文件完整歸檔

當個資事故發生時，第一要務即是防止事故繼續擴大，所以需立即啟動應變機制，由緊急應變小組介入處理。應變機制任務編組必須包括：

應變機制任務編組

備註：上表亦包含個人資料，組織應謹慎處理此份資料之蒐集、處理以及利用之合法性。

個資事故之通報

個資事故一旦發生，不論是否為機關之疏失，都必須依法通報受影響之當事人以及相關主管機關，不允再像過去對外一概否認，否則依個人資料保護法§12規定（個資被竊取、洩露、竄改或其他侵害者，未通知當事人），主管機關將要求限期改正，屆期未改正者，按次處新臺幣二萬元以上二十萬元以下罰鍰（個人資料保護法§48）。

以下為通知需注意事項：

8  機關內進行各層級之通報、視法律規定通報各事業主管機關、當地縣市政府、最重要是通知個資當事人。

8  若個資事件影響範圍不大，機關可在初步擬定說明函以及道歉函後，個別通知當事人，務必讓當事人了解機關有誠意解決問題，並負起一切賠償責任，儘量避免個人訴訟或團體訴訟成案，影響機關信譽以及衍生更多之賠償。

8  若個資事件影響層面過大，各別通知受影響當事人已有時效性上之難度，依個人資料保護法施行細則§§18規範，可以使用『網際網路』、『新聞媒體』或『其他足以使公眾得知之方式』進行告知，原則同上，務必讓當事人了解機關有誠意解決問題，並負起一切賠償責任，儘量避免個人訴訟或團體訴訟成案，影響機關信譽以及衍生更多之賠償。

8  所有提到之通報行為，機關皆必須留下可資證明之記錄或證據，如不幸發生訴訟時，亦可取出向法官證明機關確實並非故意造成個資事件，且有誠意解決問題並負起一切責任，降低對機關各種有形或無形之傷害。

其他注意事項

8  若事件後續處理有需要持續觀察或矯正、預防措施需要更長時間者，機關應指派專人進行全程之追蹤、記錄、監控並進行必要之審查，以確保所有控管事項均被完整執行。

8  若事件處理時間較長，機關需確保受影響之個資當事人會持續接收機關之處理進度報告。

8  個資事件公開說明需注意事項：需強調

Ø   第一時間一定要公開相關資訊

Ø   先感謝各界關心

Ø   組織一定會負責找出問題以及提供必要之損失補償

Ø   個資事件中的個資標的物該如何確保不再出錯

Ø   後續的管理機制為何