個人資料蒐集、處理與利用之適法性說明
機關背景說明: 1. 本公司為OO業 2. 主管機關為OOOOOO 3. 不以蒐集、處理與利用個人資料為營業目的 4. 主管機關未對本公司有明令之個人資料管理規範 一、 機關蒐集個資之法定職務或法定義務之依據 – 本公司依『勞動基準法』蒐集、處理與利用員工之勞動名卡 – 本公司依『勞工安全衛生法』蒐集、處理與利用員工之健康檢查資料 – 本公司依『職工福利委員會組織準則』提供職工福利委員會之委員名單 – 本公司依『公司法』蒐集、處理與利用股東資料 – 本公司依『公司法』蒐集、處理與利用董監事資料 二、 組織適用之特定目的。個資蒐集、處理與利用程序違反,可能導致行政處罰之行為 – 特定目的: ¤ ○○二:人事行政管理 ¤ ○九七:其他合於營業登記項目或章程所定業務之需要 – 個資蒐集、處理與利用程序違反,可能導致行政處罰之行為: ¤ 未依規定蒐集個人資料(含告知個資當事人) ¤ 未依規定處理個人資料 ¤ 未依規定利用個人資料 ¤ 未妥善保管個人資料 ¤ 未依規定提供當事人行使個資之權利 ¤ 未依規定對個資委外作業進行必要之監督 三、 違反個資保護規定,足生損害於他人,或意圖營利或為不法之利益,損害個人資料檔案之正確,導致刑事處罰之行為 – 適用之行為: ¤ 刑事責任: Ö 無正當理由蒐集特種個資(§6-1) Ö 公務機關蒐集、處理個資資料違背規定(§15) Ö 公務機關利用個人資料違背規定(§16) Ö 非公務機關蒐集、處理個人資料違背規定(§19) Ö 非公務機關利用個人資料違背規定(§20-1) Ö 中央目的事業主管機關限制國際傳輸而違反(§21) Ö 意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確(§42) ¤ 行政責任(罰鍰): Ö 無正當理由蒐集特種資料(§6-1) Ö 非公務機關蒐集、處理個人資料違背規定(§19) Ö 非公務機關利用個人資料違背規定(§20-1) Ö 中央目的事業主管機關限制國際傳輸而違反(§21) Ö 向當事人或非當事人蒐集個人資料時,未履行相關告知義務(§8, §9) Ö 拒絕、遲延當事人查閱、副本給予、更正、補充之請求(§10, §11, §13) Ö 個資被竊取、洩露、竄改或其他侵害者,未通知當事人(§12) Ö 個資於蒐集目的外之利用,經當事人表示拒絕接受而繼續(§20-2) Ö 個資於蒐集目的外之利用,未提供當事人拒絕接受機會(§20-3) Ö 未採行適當之安全措施或訂定個資檔案安全維護計畫等(§27-1) Ö 規避、妨礙或拒絕中央目的事業主管機關或直轄市、縣(市)政府進入、檢查或處份非公務機關(§22-4) 四、 個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,遭致損害求償之可能性評估 – OO公司目前持有之個人資料區分: ¤ 員工個人資料 ¤ 員工健康檢查資料 ¤ 股東個人資料 ¤ 求職者個人資料 ¤ 董監事成員個人資料 ¤ 客戶個人資料 ¤ 廠商個人資料 – 本公司非蒐集大量個人資料之機關,可能遭遇之侵害個資當事人權益情況如下: ¤ 外部惡意程式入侵本公司資訊平台,盜竊OO公司所持有之個人資料:可能性為『中等』 ¤ 公司員工惡意盜竊OO公司所持有之個人資料:可能性為『中等』 五、 國際傳輸之限制 – 主管機關未規範 – OO公司亦無個人資料國際傳輸之需求 六、 援引符合個資法規定之例外條件 – 無
留言列表