個人資料保護法諮詢服務

新修正的個人資料保護法

個人資料保護法(下簡稱「個資法」)已於2012 年10 月1 日開始施行。新個資法對企業作業層面的影響甚為廣泛,也大幅提高企業可能面臨的法律風險。不論是企業的客戶資料或是員工資料,在蒐集、處理及利用方面均必須符合個資法規定,否則相應的行政責任、民事責任甚至刑事責任極有可能加諸其上,因此企業已經不能以過往舊法的心態,看待個資法,而必須及早因應。

新個資法對於企業最主要的衝擊如下:

  • 所有企業全面適用
  • 紙本、電子檔或其他形式的個資均在規範之列
  • 提高企業告知義務的密度
  • 加強企業蒐集、處理、利用、國際傳輸個資之程序性遵法義務
  • 提高民事、刑事、行政之法律責任
  • 民事爭訟舉證責任之轉換,改由企業自證已盡個資保護之善良管理人注意義務
  • 引進團體訴訟制度,提高個資當事人對企業提起個資民事訴訟之便利性

就企業體合規的準備而言,如果業務流程涉及較大範圍的個資(諸如金融業、保險業、醫療業、網路業、行銷業、仲介業、零售買賣業、專業服務業、徵信業、非營利事業組織之公教機關等),相應的法律風險也較高,且準備時間亦較長,應有必要儘早因應,以免無法即時及穩健導入個資之遵循作業。

PwC的個資法諮詢服務

服務項目

  • 協助建置個資保護制度規章
  • 協助企業進行個資盤點及個資保護風險分析,並提出改善建議
  • 協助企業調整表單文據
  • 協助企業導入個資保護之內評機制
  • 提供個資保護相關教育訓練
  • 就訴訟角度,協助企業建置資料留存軌跡之方法
  • 協助企業確認存在於業務流程中之個人資料生命循環,瞭解各業務活動個資重點與關鍵環境現況管控程度
  • 依組織特性協助設計個人資料管理組織及權責,推動個資保護強化作業
  • 協助組織依產業與業務特性擬定個人資料管理政策目標與隱私聲明
  • 執行法令遵循面、業務流程面與資訊科技環境面個資管理現況評估,以了解組織面臨的管控風險與弱點,並進行個人資料管理衝擊分析
  • 協助企業搭配現行風險自評作業(RCSA)進行個人資料管理風險評鑑
  • 個人資料委託查核作業,依組織需求協助至其委託廠商處查核與提供改善建議
  • 協助通過資訊安全管理ISO27001 驗證
  • 協助通過個人資料管理BS10012 驗證
  • 協助建立數位鑑識管理程序

PwC的優勢

  • 專業高效的專案管理
    PwC充分瞭解專案的複雜性,因此通過制定明確的專案目標、範圍與時程之控制要求,對專案執行、目標達成和專案預算控管,有充分的預估和備選方案。此外,在專案執行過程中,PwC將與專案各方保持緊密聯絡,並定期向客戶報告,以確保專案的進度。

  • 豐富專業的專案技術
    PwC的團隊在執行專案過程中,將使用多種方式,包括考量過去的查核經驗、訪談、問卷收集、範本參考及現有資訊系統支援等方式,全方位對個資保護進行評估。PwC也將利用現場或遠端技術,展開評估,降低專案成本,提高效率。

  • 深厚熟悉的企業關係
    PwC所服務之客戶多為本所重要的審計客戶,透過與企業深厚的合作關係,不僅可保持專案的靈活溝通,另將通過過去對貴企業流程查核的了解,反映在專案執行的效率上。PwC還將利用已有的關係網路,為客戶提供個資保護相關的動態資訊,及時溝通監管要求及最新趨勢。

  • 持續及時的資源保障
    PwC專案的團隊來自資誠聯合會計師及普華商務法律事務所,團隊成員都具有多年的顧問諮詢輔導經驗,同時也保證了專案團隊與客戶的溝通順暢。同時,PwC也將充分利用我們在其他專案上的成功經驗,在本次專案過程中進行推廣。

 

What's new

近期個資法爭訟案件:刑事起訴

  • 台中地檢署於2013年1月18日針對一名未經當事人同意而將其姓名及手機公布於「臉書」之被告,認定構成個資法第41條第1項規定「非意圖營利違法利用個資罪」而加以起訴,該條最重本刑為2年有期徒刑。(倘屬企業體可能涉犯之「意圖營利違法利用個資罪」,最重本刑將提高為5年有期徒刑)
  • 新竹地檢署於2013年2月針對一名企業負責人不滿員工表現,將其開除後,於公司門口張貼載有員工個資之開除公告,認定該負責人行為超出蒐集員工個資之特定目的,而將其起訴。

近期個資法爭訟案件:民事團體訴訟

  • 台灣人權促進會針對健保局疑似未經患者同意而將大筆之患者就醫資料提供予國家衛生研究院一事,擬依個資法第34條規定,代表20名以上之病患當事人提起民事求償之團體訴訟,最高賠償金額將達新台幣2億元。
  • 屏東愛鄉護土自救會反對縣府興建火葬場,卻發現該自救會成員之身分證字號、電話、地址遭屏東縣政府納入環境說明書附錄資料,並置於網站上供人點閱、下載,該自救會旋於2012年12月31日按鈴控告屏東縣長及承辦局處首長違反個人資料保護法,求償200萬元。
  • 國內某家商業銀行於2012年11月間遭發現有大批信用卡申請資料遭外洩,雖該銀行宣稱係離職員工個人行為,然消保官仍指出銀行已違反個資法及銀行法規定,呼籲個資遭外洩之顧客對該銀行提起團體訴訟,金管會亦表示將介入調查。

主管機關新增法令

  • 金管會已公告將「個人資料保護法遵循情形」列入2013年金融檢查重點項目。
  • 法務部已於2013年1月訂定各行業進行個資行政檢查之各中央目的事業主管機關,並舉例多項個資安全措施供各主中央目的事業主管機關作為行政檢查時之參考項目,顯示主管機關已準備開始實施個資法規定之個資行政檢查,故企業宜盡速建立個資法規定之個資保護規章制度及適當安全措施,否則將面臨罰鍰及公司商譽損失。
  • 法務部已要求各中央目的事業主管機關於2013年3月31日前,依個資法第27條第3項規定,訂定所屬產業應遵循之「個人資料檔案安全維護計畫」或「業務終止後購人資料處理方法」等個資保護事項辦法,並提供若干訂定此等辦法之參考事項。惟法務部提供其他主管機關之參考事項未包含各項法定安全措施之具體作法或步驟,尚非作為企業個資保護制度規章之範本,故各企業體仍結合法律面、資安面及內部控制面進行個資保護制度導入,方得有效防免違反個資法可能產生之法律風險。