個資像空氣 蒐集運用要小心!
Reference check(資歷審核)可以未經求職者同意就致電,前(現職)公司HR嗎?
未經求職者同意當然不行。
- 蒐集個人資料時,應依據《個資法》第8條
明確告知當事人。 - 非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,
應有特定目的,並依《個資法》第19條第1項第5款,企業須先取得應徵者同意。 - 非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之
特定目的必要範圍內為之。並依《個資法》第20條第1項第款經當事人同意,得為特定目的外之利用:
圖:鄒靜修
什麼是個資?
圖:鄒靜修
圖:鄒靜修
2023年5月個資法修法後,因為違反個資法的罰鍰從過去2萬到20萬元,修改為2萬到200萬元,情節重大者可處15萬元到1,500萬元。之前是要求限期改正、不一定會罰,現在是逕行處罰時同時命令改正,也就是「一定會罰」。不僅如此,現在企業需要更明確的揭露個資外洩事件。
對於企業而言,不要以為只是外洩用戶的個資、事不關己,因為,現在已有上市櫃公司遭個資法裁罰200萬元的情形。因為很多企業不知道2023個資法已經修法。
《個人資料保護法》第 48 條
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者日,按次處新臺幣二萬元以上二十萬元以下罰鍰:
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。
非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,其情節重大者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十五萬元以上一千五百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處罰。
https://www.istockphoto.com
除了個資法之外,另數位發展部2023年10月依據個資法第27條第3項規定,訂定「數位經濟相關產業個人資料檔案安全維護管理辦法」,要求訂定安全維護計畫,並可派員到場實施個資檢查。若業者違反這項辦法,最重將開罰1500萬元。
受此項規範約束的產業,不只涵蓋綜合性電商,還有軟體出版業、其他資訊服務業,以及第三方支付服務業等。還包括:綜合商品零售業,製造業及技術服務業等眾多產業。
《數位經濟相關產業個人資料檔案安全維護管理辦法 》
第3條
- 業者應於本辦法施行之日起三個月內完成個人資料檔案安全維護計畫及業務終止後個人資料處理方法(以下簡稱安全維護計畫)之規劃及訂定。
- 安全維護計畫應納入符合第五條至第十七條規定之具體內容。
- 業者應依其所訂定之安全維護計畫執行之。數位發展部(以下簡稱本部)得要求業者提出安全維護計畫之實施情形,業者應於指定期限內,以書面方式提出。
第4條
業者應對內公開周知個人資料保護管理政策,使所屬人員明確瞭解及遵循,其內容應包括下列事項之說明:
一、遵守我國個人資料保護相關法令規定。
二、以合理安全之方式,於特定目的範圍內,蒐集、處理或利用個人資料。
三、以可期待之合理安全水準技術保護其所蒐集、處理或利用之個人資料檔案。
四、設置聯絡窗口,供個人資料當事人行使其個人資料相關權利或提出相關申訴與諮詢。
五、規劃緊急應變程序,以處理個人資料被竊取、竄改、毀損、滅失或洩漏等事故。六、如委託蒐集、處理或利用個人資料者,應妥善監督受託者。
七、持續維運安全維護計畫之義務,以確保個人資料檔案之安全。
第16條
業者執行安全維護計畫時,應評估其必要性,保存下列紀錄至少五年:
一、個人資料之蒐集、處理或利用紀錄。
二、自動化機器設備之軌跡資料。
三、落實執行安全維護計畫之證據。
業者於業務終止後,其所蒐集、處理或利用之個人資料應依下列方式處理,並留存下列紀錄至少五年:
一、銷毀:銷毀之方法、時間、地點及證明銷毀之方式。
二、移轉:移轉之原因、對象、方法、時間、地點及受移轉對象得蒐集該個人資料之合法依據。
三、其他刪除、停止處理或利用個人資料:刪除、停止處理或利用之方法、時間或地點。
https://www.istockphoto.com
小結
個資保護已成為企業無法迴避的挑戰,尤其近年詐騙橫行之下,個資外洩早已受到社會大眾的廣泛關注,千萬不要不小心就讓企業形象毀於一旦。
