2013年05月號 生活情报
《个人资料保护法系列五》──企业委外处理事务应注意之个资相关问题
远东新世纪法制室 / 范佩琦
一、企业委外蒐集、处理或利用个人资料之权责:
依个人资料保护法第4条规定:「受公务机关或非公务机关委托蒐集、处理或利用个人资料者,於本法适用范围内,视同委托机关。」所谓「视同委托机关」系指以委托机关为权责归属机关,意即被蒐集、处理或利用个人资料之本人,依个人资料保护法行使相关权利或请求损害赔偿时,皆得以委托机关为对象。故企业所委外处理之事务,如涉及蒐集、处理或利用他人之个人资料者,应与委外厂商依个人资料保护法负同一责任。
二、个人资料保护法就企业委托他人蒐集、处理或利用个人资料之相关规范:
承上,为进一步厘清委托机关与其受托者之责任归属,个人资料保护法施行细则第8条规定:「委托他人蒐集、处理或利用个人资料时,委托机关应对受托者为适当之监督。」所谓「适当之监督」,根据同条规定,至少应包含下列事项:
(一)受托者预定蒐集、处理或利用个人资料之范围、类别、特定目的及其期间。
(二)受托者为维护个人资料安全所采取之适当措施。
(三)有复委托者,其约定之次受托者。
(四)受托者或其受雇人违反个人资料保护法或其他相关法令时,应向委托机关通知之事项及采行之补救措施。
(五)委托机关如对受托者有保留指示者,其保留指示之事项。
(六)委托关系终止或解除时,个人资料载体之返还,及受托者履行委托契约以储存方式而持有之个人资料之删除。
(七)委托机关应定期确认受托者执行个人资料保护措施之状况,并将确认结果记录之。
三、企业於委外事务中应采取之管理机制:
根据前述法源规范,企业除应定期稽核委外厂商之资讯管理措施外,亦须透过委托契约订定委外厂商之责任及义务,并於契约中约定下列事项:
(一)蒐集、处理及利用个人资料之范围:
委外厂商蒐集、处理或利用个人资料之目的、类别、期间、地区及方式。
(二)个人资料之删除或销毁:
委外厂商於双方委托关系消灭、终止或解除时,应依企业指定之方式,返还所有自企业处所取得之个人资料之载体,并删除或销毁其持有个人资料之档案及其备份。企业亦保留随时要求委外厂商返还、删除或销毁个人资料之权利。
(三)委外厂商之安全维护义务:
委外厂商应有完善之个人资料安全维护措施及管理机制,包括个人资料外泄事故之通知程序及采行补救措施,企业并得随时稽核委外厂商,如有发现任何缺失,委外厂商应无条件配合改善。
(四)复委托之约定:
非经企业同意,委外厂商不得将委外事务复委托第三人处理。且委外厂商应使经合法复委托之第三人遵守委托契约及个人资料保护法之规定,委外厂商应善尽监督管理复委托之责。
(五)违约责任:
如因可归责於委外厂商之事由,导致个人资料外泄、被窃或窜改等情事者,企业除得向委外厂商请求损害赔偿外,应另行约定惩罚性违约金,尽量减低企业担负委托机关之法律责任。
*********************************************
