個人資料保護法上路 企業人資當心了!
career 職場情報誌 9月號 作者:周昌湘
前些日子,某社會事件發生後,網路上流傳對受害者身分無端洩漏、散播不雅照片、提供個人隱私資料給媒體的行為,這對預計將在今年10月1日上路的「個人資料保護法」(簡稱個資法),顯得有些無奈與諷刺!
對照於現行的「電腦處理個人資料保護法」,新版的個資法更符合歐盟與APEC揭示的8大原則,使我國的個人資料保護機制與國際接軌。其立法精神並非禁止企業利用個人資料來執行公務與處理業務,而是規定更周延的程序,以給予個人隱私更大的尊重與保護。
依據個資法,個人可以有權力決定自己的個資是否要提供,同時也可以瞭解自己的個人資料是如何被蒐集、使用、處理、傳輸等狀況。所以建議每個人未來都應該注意,對於已經在別人手上的個資、或現在正要交出去的個資,要謹慎把關!
絕非一套資安軟體就能解決
個資法對企業來說,是一場企業經營必備的知識學習,也是人力資源工作者必須正視的新挑戰。在現今通訊科技發達的時代,資料傳輸如此迅速,一旦個人資料外洩或遭竊取,不但該資料當事人的隱私在短時間內恐即遭侵害,對企業來說也是危機管理的新議題,絕不是一套資安軟體就可以解決全部問題,更何況新法實施,陣痛期至少一年半載,要調整修正的地方肯定很多,企業不可不慎!
我認為,資訊安全工作,不能只有資訊部門一個單位承擔,凡是有用到各項軟體的所有部門及人員都應瞭解,只不過,其中必須最熟悉、最懂專業的仍該是資訊部門。個資法上路後,業務營銷部門就應控管好業務客戶的資料,人力資源部門則要管理好應徵者、在職、離職的人事資料;甚至沒有用到資訊系統的書面文件資料管理,也都必須依照個資法的規範處理,這是常被忽略掉的部分。
企業各部門都責無旁貸
如果企業經營型態是屬於B2B(企業對企業)則一般部門受影響較小,但B2C(企業對個人客戶)則業務部門首當其衝。可是不論任何企業,都有管理員工個人資料的單位,因此,人力資源部門將是必須深入瞭解個資法的重點單位。
當然,個人資料保護管理制度的導入、參加ISO27001:2005主導稽核員訓練、購買機房設備、取得各項認證等工作,是屬於資訊部門的職責。但其他部門也責無旁貸,對於必須親自主管經手的資料,至少應該有1位個資保護專責人員,進行相關工作。例如個人資訊處理程序之監督,包括隱私權聲明的管理和傳達、訴願處理、與負責風險管理和安全的人聯繫、妥善保存相關控制措施證據(如表單紀錄)等,以證明已盡良善管理之責任。另外,還包括定期執行稽核作業,以確保相關管理措施之有效性、通報個資安全事件等。
人資應立即盤點員工相關文件
對個資法,人資部門可採取下列因應方案:
1、設置個資保護專責人員
我建議由各個部門分工設置專責人員(即人資部門內有擔當資安管理的負責人員),或由現有人員經專業訓練後擔任之。在組織設計、工作任務、工作流程、人員選定標準等方面,都要事先規劃。
2、進行實務演練
建議依照施行細則第9條所稱的必要措施,在人力資源日常行政工作中實際執行一次,包括人資作業管理機制稽核、事故預防通報應變處理、遵照合法作業流程、認知宣導及教育訓練、委外作業保護等。
企業人資立即可以進行的作業包括:
● 盤點員工所有相關文件:包括現行招募時的敏感性題目、員工犯罪紀錄、員工體檢報告等,未來個資法實施後,此部分資料公司不能再保存,應事先處理掉,以免觸法。
● 強化內部教育訓練:各個管理部門都必須詳盡學習,因為新法上路後,會有一陣摸索適應期,而一般員工也要有基礎認識,才能避免誤觸法網。
稍有不慎 小心吃上官司!
至於個資法正式實施後,人資部門未來因應方案包括:
● Reference Check時,應先取得員工與前公司相關同仁同意的書面文件,再取得本公司與該員工同意的書面文件(此或可由系統設計,以符合電子簽章方式來操作,讓員工勾選)。
● 招募及人事資料檔中的表單表格,應刪除敏感性問題。
● 招募系統內容(問題)依法變更。
● 離職員工的個人資料、考績資料等,於員工新進簽約時,加註同意留存年限條款。
依據新法規定,人力資源部門有可能在持有個人資料的企業內,承擔一部分資安角色,倘若不瞭解個資法規定,就可能使企業內的個人資料遭到不法蒐集、處理、利用,或發生其他侵害當事人權利之情事。
若是企業被迫負起損害賠償責任,轉而行使內部求償權利,由於行為人必須跟進負責賠償責任,人力資源部門的資安管理負責人員將無法倖免。又若是有人資人員發生直接違法的行為,還可能面臨更嚴重的刑事責任。因此人力資源部門必須謹慎因應之!