2013年05月號 生活情報
《個人資料保護法系列五》──企業委外處理事務應注意之個資相關問題
遠東新世紀法制室 / 范佩琦
一、企業委外蒐集、處理或利用個人資料之權責:
依個人資料保護法第4條規定:「受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。」所謂「視同委託機關」係指以委託機關為權責歸屬機關,意即被蒐集、處理或利用個人資料之本人,依個人資料保護法行使相關權利或請求損害賠償時,皆得以委託機關為對象。故企業所委外處理之事務,如涉及蒐集、處理或利用他人之個人資料者,應與委外廠商依個人資料保護法負同一責任。
二、個人資料保護法就企業委託他人蒐集、處理或利用個人資料之相關規範:
承上,為進一步釐清委託機關與其受託者之責任歸屬,個人資料保護法施行細則第8條規定:「委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督。」所謂「適當之監督」,根據同條規定,至少應包含下列事項:
(一)受託者預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。
(二)受託者為維護個人資料安全所採取之適當措施。
(三)有複委託者,其約定之次受託者。
(四)受託者或其受僱人違反個人資料保護法或其他相關法令時,應向委託機關通知之事項及採行之補救措施。
(五)委託機關如對受託者有保留指示者,其保留指示之事項。
(六)委託關係終止或解除時,個人資料載體之返還,及受託者履行委託契約以儲存方式而持有之個人資料之刪除。
(七)委託機關應定期確認受託者執行個人資料保護措施之狀況,並將確認結果記錄之。
三、企業於委外事務中應採取之管理機制:
根據前述法源規範,企業除應定期稽核委外廠商之資訊管理措施外,亦須透過委託契約訂定委外廠商之責任及義務,並於契約中約定下列事項:
(一)蒐集、處理及利用個人資料之範圍:
委外廠商蒐集、處理或利用個人資料之目的、類別、期間、地區及方式。
(二)個人資料之刪除或銷毀:
委外廠商於雙方委託關係消滅、終止或解除時,應依企業指定之方式,返還所有自企業處所取得之個人資料之載體,並刪除或銷毀其持有個人資料之檔案及其備份。企業亦保留隨時要求委外廠商返還、刪除或銷毀個人資料之權利。
(三)委外廠商之安全維護義務:
委外廠商應有完善之個人資料安全維護措施及管理機制,包括個人資料外洩事故之通知程序及採行補救措施,企業並得隨時稽核委外廠商,如有發現任何缺失,委外廠商應無條件配合改善。
(四)複委託之約定:
非經企業同意,委外廠商不得將委外事務複委託第三人處理。且委外廠商應使經合法複委託之第三人遵守委託契約及個人資料保護法之規定,委外廠商應善盡監督管理複委託之責。
(五)違約責任:
如因可歸責於委外廠商之事由,導致個人資料外洩、被竊或竄改等情事者,企業除得向委外廠商請求損害賠償外,應另行約定懲罰性違約金,盡量減低企業擔負委託機關之法律責任。
*********************************************
