#139- 律師揭秘 NPO 如何因應個資法修正——談個資保護實務和個資外洩風險

Transcript

1. 網路星期二 個人資料保護實務與個資外洩風險 達文西個資暨高科技法律事務所 孔德澔 律師 2023年10月16日 網路星期二 個人資料保護實務與個資外洩風險

2. 講 者 介 紹 講 者 介 紹 1 學歷

   u 國立政治大學 法律學研究所公法組碩士 u 國立政治大學 法律學系學士 專業領域 u 智慧財產權法 u 個人資料保護法 u 行政訴訟 u 憲法 現任 u 達文西個資暨高科技法律事務所 律師 曾任 u 憲政時代雜誌執行編輯 證照 u 中華民國律師

3. 2

4. 3

5. 4 個資法基本概念

6. 何為個資？ 5 • 個資法第2條第1款 個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、 護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、 基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社 會活動及其他得以直接或間接方式識別該個人之資料。

7. 社群媒體帳號？ 6

8. 什麼是特種個人資料？ 7 • 個資法第6條第1項 有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資 料，不得蒐集、處理或利用。

9. 特種個人資料的重要性 8

10. 個人資料的蒐集、處理及利用 9 • 個資法第2條第3、4、5項 蒐集：機關以任何方式取得（從無到有） 處理：記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸 出、連結、內部傳送 利用：處理以外的使用 ￚￚ外部利用：提供、分享、公開 ￚￚ對當事人利用：聯繫、分析

11. 個人資料的蒐集、處理 10 • 個資法第19條第1項 非公務機關對個人資料之蒐集或處理，除第六條第一項所規定資 料外，應有特定目的，並符合下列情形之一者：

12. 個人資料的蒐集、處理 11 法律明文規定 與當事人有契約或類似契約之關係， 且已採取適當之安全措施 當事人自行公開或其他已合法公開 之個人資料 學術研究機構基於公共利益為統計 或學術研究而有必要，且資料經過 提供者處理後或經蒐集者依其揭露

    方式無從識別特定之當事人 經當事人同意 為增進公共利益所必要 個人資料取自於一般可得之來源。但當事人 對該資料之禁止處理或利用，顯有更值得保 護之重大利益者，不在此限 對當事人權益無侵害

13. 個人資料的利用 12 • 個資法第20條第1項 非公務機關對個人資料之利用，除第六條第一項所規定資料外， 應於蒐集之特定目的必要範圍內為之。但有下列情形之一者，得 為特定目的外之利用：

14. 個人資料目的外利用 13 法律明文規定 公務機關或學術研究機構基於公共利益為統 計或學術研究而有必要，且資料經過提供者 處理後或經蒐集者依其揭露方式無從識別特 定之當事人 為增進公共利益所必要 經當事人同意 有利於當事人權益

    為免除當事人之生命、身體、自由 或財產上之危險 為防止他人權益之重大危害

15. 蒐集處理合法≠利用合法 14

16. 個人資料的法定告知義務 15 • 個資法第8條第1項 公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人 資料時，應明確告知當事人下列事項： 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。

    五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。

17. 個人資料的法定告知義務 16

18. 17 違反個資法的責任

19. 違反個資法的最高罰鍰？ 18 • GDPR 兩千萬歐元或前一會計年度全球4%營業額 • 中國個人信息保護法 5000萬元人民幣或前一會計年度5%營業額 • 舊個資法

    100萬元新台幣

20. 違反個資法的罰則 19 • 舊個資法第48條第2項 非公務機關有下列情事之一者，由中央目的事業主管機關或直轄 市、縣（市）政府限期改正，屆期未改正者，按次處新臺幣二萬 元以上二十萬元以下罰鍰。

21. 違反個資法的罰則 20 • 新個資法第48條第2項 非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔 案安全維護計畫或業務終止後個人資料處理方法者，由中央目的 事業主管機關或直轄市、縣（市）政府處新臺幣二萬元以上二百 萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處新臺幣 十五萬元以上一千五百萬元以下罰鍰。

22. 違反個資法的罰則 21 • 新個資法第48條第3項 非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔 案安全維護計畫或業務終止後個人資料處理方法，其情節重大者， 由中央目的事業主管機關或直轄市、縣（市）政府處新臺幣十五 萬元以上一千五百萬元以下罰鍰，並令其限期改正，屆期未改正 者，按次處罰。

23. 個資法主管機關 22

24. 23 個資盤點與風險評估

25. 個資盤點概述 24 識別 彙整 確認 更新 建立 檢視 包含個資的 表單紀錄

    個資檔案 個資種類 保有依據 特定目的 個資生命週期 個資清冊 定期盤點更新

26. 個資盤點 25

27. 個資盤點 26

28. 個資風險評鑑 27

29. 28 個資稽核

30. 個資稽核的功能 29 • 確認說、寫、做的一致性，改善落差 蒐集、處理或利 用的合法性 安全維護事項 執行性 當事人權利 滿足性

    個資事故應變 有效性

31. 如何準備個資稽核–六大步驟 30 １、確認機關內部個資保護相關規範 • 個資保護管理要點 • 其他資訊安全政策及規範等 ２、識別機關內部個資保護相關規範與 個資法／施行細則之落差 可參考「內政部指定合作及人民團體類

    非公務機關個人資料檔案安全維護管理 辦法」

32. 如何準備個資稽核–六大步驟 31

33. 如何準備個資稽核–六大步驟 32 ３、確認受稽單位的核心業務或新業務 • 事先訪談 • 蒐集資料 4、選定稽核範圍/業務與稽核項目 • 專人之個資安全維護事項執行狀態

    • 蒐集、處理或利用個資的合法性 • 告知義務的履行性 • 當事人同意的有效性 • 資料保存期限的適當性 • 當事人權利行使的滿足性等 ５、預先設想佐證資料 • 安全維護事項執行紀錄、會議記錄等 • 蒐集個資的法律依據說明 • 個資盤點表 • 蒐集資料的告知義務履行方式 • 當事人同意紀錄 • 個資保存期限的法律依據吉刪除現況 • 當事人權利行使紀錄 ６、事先提供稽核項目予受稽單位 以利受稽單位預先準備佐證資料

34. 如何執行個資稽核–三順序 33 １、人員訪談 • 針對稽核範圍及業務訪談 • 對照稽核底稿中的稽核項目 • 稽核員態度懇切、表達善意 •

    受稽人員忠實說明、可尋求 協助 ２、規範確認 • 受稽人員針對說明提出對應 規範 • 稽核員確認規範與說明的一 致性 • 稽核員依據自身經驗及專業 知識評估規範的有效性 ３、佐證資料提出 • 受稽人員針對說明提出實作 佐證 • 包含文件、契約、表單、紀 錄、系統操作、網站操作等 • 稽核員評估佐證資料是否足 夠支撐受稽人員說明及規範

35. 謝謝聆聽 THANKS FOR YOUR ATTENTION 孔德澔律師 達文西個資暨高科技法律事務所 10045 臺北市中正區衡陽路51號6樓之9 TEL：02-2367-0902

    34