【資策會/集保:個資委託行為及監督管理實務演講】

個資委託行為一直是個資管理執行實務上的黑洞,企業透過業務的分工或專業委外以追求效率及成本控制,然而整體行為所涉及風險亦可能因此而增加,就涉及到個資使用行為更是明顯,嚴重者甚至可能影響到個資當事人權益。而實務上諸多個資事故的發生,也都在於外部協力廠商的不慎行為(例如,電商/資訊系統建置,個資防護措施未完備而導致駭客入侵)。因此,如何對於個資委託行為界定並對受託者進行監督管理,就是很重要的議題。

2023.4.18 台北

今日至集保進行個資法專題演講。

個資委託行為一直是個資管理執行實務上的黑洞,企業透過業務的分工或專業委外以追求效率及成本控制,然而整體行為所涉及風險亦可能因此而增加,就涉及到個資使用行為更是明顯,嚴重者甚至可能影響到個資當事人權益。而實務上諸多個資事故的發生,也都在於外部協力廠商的不慎行為(例如,電商/資訊系統建置,個資防護措施未完備而導致駭客入侵)。因此,如何對於個資委託行為界定並對受託者進行監督管理,就是很重要的議題。

更麻煩的是,實務上有很多複雜的行為態樣,像是人力銀行的應徵仲介及媒介、對於google, FB, line等表單/投票系統使用,如何能予以監督等,都值得探討。也感謝資策會這次演講的安排

相關法規

1.個資法

(1)第四條:受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。

(2)立法理由:為使公務機關或非公務機關委託團體或個人處理資料時與當事人之關係明確,爰於本條規定委託機關應就受託團體或個人之行為,依本法規定負責;當事人如行使本法所定之權利,應以委託機關為對象。

2.個資法施行細則

(1)第七條:受委託蒐集、處理或利用個人資料之法人、團體或自然人,依委託機關應適用之規定為之。

(2)第八條1:委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督。

(3)第八條2:前項監督至少應包含下列事項:一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。二、受託者就第十二條第二項採取之措施。三、有複委託者,其約定之受託者。四、受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時,應向委託機關通知之事項及採行之補救措施。五、委託機關如對受託者有保留指示者,其保留指示之事項。六、委託關係終止或解除時,個人資料載體之返還,及受託者履行委託契約以儲存方式而持有之個人資料之刪除。第一項之監督,委託機關應定期確認受託者執行之狀況,並將確認結果記錄之。受託者僅得於委託機關指示之範圍內,蒐集、處理或利用個人資料。受託者認委託機關之指示有違反本法、其他個人資料保護法律或其法規命令者,應立即通知委託機關。