鑑於近期個人資料外洩事件頻傳,加強個人資料保護之需求日益殷 切。為維護個人資料之安全性與正確性,並建立對個人資料之管理、稽 核、保存及改善機制,爰依上開規定之授權,擬具「化粧品批發零售業 個人資料檔案安全維護計畫實施辦法」
有時候,真的要感謝新冠疫情,因為它改變了我們習慣的實體課程,轉變成為了線上
如果以後政府的各類教育訓練、說明會都能有線上模式的話,或許大家就不用花那麼多的時間成本聚到同一處,而是只要上線就行了
回歸主題,化粧品批發零售業個人資料檔案安全維護計畫實施辦法(以下稱本辦法)自民國111年1月27日正日發布,並於發佈時開始實施
此外,本辦法第六條第一項中規定,需於本辦法發佈後六個月內完成安全維護計畫之訂定
並且在同條第二項中規定主管機關得定期派員檢查
也就是說,在民國111年7月27號之後,主管機關就可以開始派員進行審查
但審查是一回事,大家更在意的應該是會不會被罰錢
答案是:會的!
而且不只是罰一次,如果罰款並限期改正沒有做好的話,是會累加開罰的!
千萬別和自己的錢過不去呀!
接下來,就針對今天棟宇法律事務所的楊律師對這辦法所做的教育訓練內容做個整理
希望對大家有所幫助
個資法的延伸
其實化妝品業不算是很早施行的業種了,有些像是銀行業、西藥批發都已經有各自的辦法並施行了
但要注意的是,除了化妝品外,食品、醫療器材、西藥的批發都已經有相應的施行辦法,如果一間公司內有賣多類型的產品的話,在撰寫安全維護計畫書時,要符合各個辦法的各自規定,這個千萬要注意!
這些個人資料檔案安全維護計畫,是從個資法延伸而來的,在辦法中的第一條就有明確的規定
所以,除了這辦法外,還是需要去注意原本的個資法內容
誰應該要遵守這辦法?
很多人看到這辦法時,都會想說「是不是我有賣化妝品就需要做這安全維護計畫書?」
這答案是否定的!
所以,先讓我們來搞清楚,到底誰才需要做這些事情
本辦法第三條第一項中所定義的「化粧品批發零售業者」需滿足以下條件:
1. 從事化粧品之批發或零售;
2. 已辦理公司、商業或有限合夥設立登記,且資本額新臺幣三千萬以上;
3. 有招募會員或可取得交易對象個人資料
也就是說,當公司資本額為達三千萬以上,或是在店面或平台上販售化妝品的公司,沒有會員制也沒有取得個資時,是不需要執行這個安全維護計畫辦法的
此外,也需注意,批發或零售指的是販售給消費者
所以公司如果是做B2B的生意,將化妝品販售給其他公司時,也是不需要執行這個安全維護計畫辦法的
誰是負責的主管機關?
當知道自己是需要執行這安全維護計畫辦法,要先知道主管機關是誰
一方面,主管機關可能會通知你,甚至來進行稽查;另一個更重要的是,當有需要通報時,才知道要向誰通報!
本辦法第2條就提到,中央主管機關為衛生福利部,而地方主管機關為地方縣市政府
既然提到通報,接著說一下,本辦法中第17條中規定,當發生事故有對當事人造成損害時,需於發現事故起72小時內向地方及中央主管機關進行通報
這邊有幾個重點:
1. 對當事人造成損害;
2. 發現事故;
3. 72小時內;
4. 向地方及主管機關進行通報
其實依照個資法規定,如果個資發生問題對當事人造成損害時,需要通知當事人
所以在發現後,除了通知當事人外,也需要通報地方及主管機關
而且在這並不論大小,也就是說,當僅有一人受害時,也是要進行通報的動作
要注意的是,通報是從「發現」事故開始起算,不管平日或假日,要在「72小時」內,向「地方主管機關」和「中央主管機關」進行通報
公司內誰負責這件事?
當知道自己需要執行這辦法了,也知道主管機關和必須通報後,再來在撰寫安全計畫書前,還要先瞭解誰要負責這些事
本辦法第3條中規定了「專責人員」、「所屬人員」和「查核人員」三種人員類型
也表示在執行這個人資料安全維護時,至少要有兩個人專門負責這件事,一個為專責人員,另一個為查核人員
另外,在安全計畫書內,對於所屬人員接觸到個資層級,應有分層控管的相應辦法
計劃書的撰寫
最後,來到計畫書的撰寫
本辦法的第4條就規定了九項需載明的事項,接著本辦法的其他條再進一步根據這九項進行詳述
簡單地來說,一開始,就是要讓企業清楚知道「為什麼要蒐集這些個資?」
接著要思考的是「要蒐集那些必要個資?」
下一步是「負責管理個資的人員有誰?以及如何進行管理?」
再來就是一連串「安全機制」到「銷毀、移轉、刪除等處理措施」
最後,就是要如何「持續地維護整體安全計畫」
此外,需注意的是,執行個資處理措施需「製作紀錄」,並「保存五年」
楊律師在講課時,有不斷地提醒,企業應該透過這機會,好好地去檢視與思考所蒐集的個人資料之重要性與必要性
很多時候,很可能為了掌握過多無用的資訊而耗費太多成本,但卻無法轉化成收益
所以應該先回過頭來檢視,自己在行銷上所真正需要進行分析的資訊是那些,然後再來決定是不是要蒐集這些必要的資料
額外仍須注意的事項
除了撰寫外,本來個資法中也有規定,在本辦法的第11條到第13條中也有提到,而楊律師在講課時也有特別提到
分別是「國際傳輸」、「個資利用」和「委託他人執行之監督」
國際傳輸不用說,一定是國家很注重的一件事,所以在進行國際傳輸前須瞭解是否有被國家允許或限制
而個資利用,應有獨立、明確地敘述,而且要清楚地讓對方知道那些個人資料會被那些單位所使用
另外,如果委託他人執行時,也需付相應的監督責任,因為當受到損害時,不僅是受委託公司的責任,委託的公司也還是有相應的責任在
所以說,千萬別覺得把事物委託給他人進行就沒問題了
另外,律師也提到一件重要的事情
被蒐集個資的人,有權利隨時調閱、修改自己的個資,同時也有權利要求停止使用或刪除
而且當提出這些要求時,就一定要照辦,不然就是違法,如果對方覺得權利受到侵害是可以進行求償的
所以不可不慎!
結論
總之,如果有在賣化妝品的業者,趁著還有一個月的時間,快點先檢視自己是否需要執行這辦法
如果是的話,可以先思考蒐集這些資料是否在行銷上有大於維護成本的價值
如果有的話,那就快看是不是已經把安全維護計畫準備好了
還沒的話,就快點完成吧!
以上這些,就是今日聽了棟宇法律事務所的楊律師,針對化粧品批發零售業個人資料檔案安全維護計畫實施辦法教育訓練的心得整理
希望能對大家有些幫助