80 likes | 562 Views
搞定個資.內控出發 天遠律師事務所 www.eCounsel.net 劉立恩律師. 小心趁火打劫的黑心商. 個資戲法人人變 十家 IT 九家騙 只靠軟體難登天 構架安控種福田. 搞定個資法,怎麼做?. 先懂法 抓重點就好,別搶我飯碗 哪些要罰?什麼要賠?能否免罰又免賠? 再找解法 從 ○ 開始自己做也行,去市場上買也行 正妹到手還得繼續把 到手不易.飛掉很容易 企業經營要永續.個資安全維護得持續. 解法就是「適當安全維護措施」!. 個資法施行細則第 9 條第 2 項: 1 款:成立管理組織,配置相當資源
E N D
搞定個資.內控出發 • 天遠律師事務所 • www.eCounsel.net • 劉立恩律師
小心趁火打劫的黑心商 • 個資戲法人人變 • 十家IT九家騙 • 只靠軟體難登天 • 構架安控種福田
搞定個資法,怎麼做? • 先懂法 • 抓重點就好,別搶我飯碗 • 哪些要罰?什麼要賠?能否免罰又免賠? • 再找解法 • 從○開始自己做也行,去市場上買也行 • 正妹到手還得繼續把 • 到手不易.飛掉很容易 • 企業經營要永續.個資安全維護得持續
解法就是「適當安全維護措施」! 個資法施行細則第9條第2項: 1款:成立管理組織,配置相當資源 2款:界定個人資料之範圍 3款:個人資料之風險評估及管理機制 4款:事故之預防、通報及應變機制 5款:個人資料蒐集、處理及利用之內部管理程序 6款:資料安全管理及人員管理 7款:認知宣導及教育訓練 8款:設備及安全管理 9款:資料安全稽核機制 10款:必要之使用記錄、軌跡資料及證據之保存 11款:個人資料維護之整體持續改善 你 累 了 嗎?
小事不做,重罰伺候 • 安全維護措施沒制定,政府會要求限期制定: • 再不訂,會被連續科處$20,000到$200,000的罰鍰 • 個資法規定,企業違反法令而有個資外流等侵權情形時,要賠每位受害者$500到$20,000,最高可判賠二億! • 但如果能證明對於個資的外流或盜用,自己並無故意或過失的話,就「可以免賠」(第29條第1項但書) • 怎樣才無故意過失?有「適當安全維護措施」!
法條很抽象,作法很簡單 (PDCA) • 計劃 • 設定合理預算(還好,法律不外乎人情!) • 先造骨幹,再生筋肉 • 執行 • 能接觸到個資的員工,總得確保他們都會做… • 稽核 • 做得好不好,公司總得監督吧… • 改善 • 萬一做得不好,哪裡該改就改哪裡…
看起來似乎第8款「設備及安全管理」的八字有一撇…但是:看起來似乎第8款「設備及安全管理」的八字有一撇…但是: 光把抽屜上鎖,電腦設密碼,就能符合 第4款「事故之預防、通報及應變機制」? 第5款「內部管理程序」? 第9款「有效稽核」? 第10款「必要使用紀錄、證據保存」? 舉例:抽屜有上鎖,電腦設密碼,適當?
個資法之下,文件管理必須電子化 • 因為電子化之後,才能完整保護個資: • 不怕自然因素之破壞﹙如地震、淹水…等﹚ • 具備完善的安全機制﹙傳輸加密、權限控管﹚ • 能夠留下使用紀錄 • 讀取下載傳遞全部都有證據 • 能夠被稽核