中小企業、新創該如何思考合法使用個資?必須要先問自己企業的必要問題

個人資料的規範未來必然是愈來愈嚴格,美國除了加州以外,各州也開始制定個資的規範,台灣政府也正在努力跟上個資的規範。慢慢地開始規劃個資管理絕對是成本最低、最安全的做法,可以有效降低未來法規轉換的陣痛期,以下內容翻譯自英國個資保護組織的指引【How well do you comply with data protection law: an assessment for small business owners and sole traders】

  1. 公司是否紀錄擁有使用者哪些個人資料?是否清楚是為何用?
    • 是否有意識到哪些資訊會進到、經過、輸出公司。
    • 是否這些資訊包含消費者的個人資訊?這些是否被辨識以及處理?是否用來電話行銷或是會員登錄細節?
    • 是否知道蒐集、使用個資的目的?
    • 是否有紀錄所持有的紀錄的個人資料?是否有處理以及為何持有?
    • 合法持有、處理六種法律基礎,是否可以合法的持有的資訊。你需要紀錄以下的資訊:
      • 擁有什麼樣的個資,例如姓名、電子郵件地址等
      • 如何得到個資,例如申請表格、藉由網站等
      • 為何你們擁有個資
      • 過去持有個資的時間、預期個資的持有時間
      • 是否有分享個資
      • 是否資料屬於特殊個資、敏感個資例如醫療資訊
  2. 使用者是否知道你擁有他們的個資,並且清楚你如何使用
    • 公司是否曾經告訴使用者你如何使用他們的個資
    • 是否告訴使用者公司曾經分享個資
    • 是否告訴使用者預計如何處理他們的個資,例如行銷資訊的推播方式
    • 需注意下述的內容
      • 使用者須知道公司負責個資負責人
      • 為何可以持有個人資訊(法律基礎)以及如何處理他們
      • 從哪裡取得個資
      • 與哪些合作夥伴分享個資,以及如何分享,包含是否跨境分享
      • 持有個資的長度
      • 如何可以請求、更正、刪除他們的個資
      • 如何向ICO(英國個資主管機關)申訴
      • 個人檔案剖析以及自動化決策運用到的資料內容
  3. 是否只有蒐集你所需的個人資料
    • 是否只有蒐集、處理公司所需的個資
    • 是否讓使用者知道他們必須提供的個資以及可自行決定提供的個資
    • 例如:Ashley是一位窗戶清潔工,他蒐集他消費者的名字、地址,因為他需要去清潔窗戶。Ashley也可能需要蒐集他消費者的電子信件因為這樣才可以寄送帳單,但這個不是必要時,就必須要告知他的消費者給出個資的要求是可選擇。
  4. 公司是否持有個人資料唯有在他們需要時
    • 是否決定必且紀錄長度
      • 公司是否曾經決定且紀錄將來持有個資的時間(Have you decided and documented how long you will hold the personal data you collect?)
      • 是否有更新、銷毀個資在特定的時間之後
      • 是否安全的刪除或銷毀個人資料只要在不再需要
    • 例如,Peter是一個新聞販賣商,他蒐集消費者的姓名、地址以及電話號碼,同樣的包含每週週報的請求以及付款的詳細資訊。Peter創造的一個文件,上面有他蒐集的個人資料,以及他持有的時間(the retention period)。在保管期間中止之後,他安全透過碎紙的方式摧毀他持有的個資。他通常也是定期確認個人資料並且確認是否在所持有的期間中定期刪除。
  5. 是否正確持有個人資料以及保持即時更新
    • 是有定期的確認個人資料為正確且保持即時的更新
    • 例如:Kevin是地方的足球隊的manager,每個月他都會寄信給團隊關於將來的比賽資訊,Kevin應該要定期的確認組織的會員以及電子信件是否正確。
    • 是否可以足夠迅速的更新資訊只要消費者要求
  6. 是否可以確保個人資料足夠安全?
    • 是否在辦公室中保有個人資料安全,例如藉由可上鎖的檔案管理系統,並且鎖上或紀錄電腦當員工離開辦公桌後
    • 是否採取特定措施確保個人資料的安全在員工提取或傳送,例如,是否是否只提出自己所需的資料或是以安全方式傳送
    • 是否維持文件檔安安全,使用可上鎖的儲存裝置以及處理紙本檔案安全的
    • 是否維持電子資料安全,藉由加密行動裝置、使用密碼並且備份資訊
  7. 是否提供使用者方式可以讓他們針對公司擁有的個資為行使權利
    • 是否清楚法令給予個人的權利
    • 總結如下,包含
      • 被告知的權利—被告知公司持有哪些個資以及如何使用
      • 存取的權利—足以回應要求複製他們所持有的個資
      • 修正的權利—可使消費者更新他們的資訊
      • 刪除的權利—可以要求公司刪除/銷毀它們的資料
      • 限制處理的權利—可以限制資料的型態、總數
      • 資料可攜權—可以要求移動他們資料電子的去其他的商業組織
      • 拒絕的權利—可以要求公司停止使用他們的個資是否有計畫可以處理任何的請求?上述請求可以透過文字、聲音,親自或透過手機,不可以限制只有用書面信件等等,並且這些情況必須是常態化的方式處理。例如,Simon一位地方的足球經營人,收到一位球員要求他去年踢過的所有比賽,這可以被作為日常的事物進行。地方十歲以下的足球隊,來自家長請求給足球隊所保有小朋友的資料。
    • 是否清楚回應需求最長的時間。
  8. 是否有清楚資訊保護責任
    • 是否有訓練職員特別是掌握使用者個資的人
    • 如果違反個人資料保護時,必須通知ICO以及個人

洋洋灑灑有這麼長的一個須知,往好處想,網站已經翻譯、整理了上面這些內容,再進行規劃時若能將個人資料的制度放進公司組織規劃,,將會更取得投資人、股東、使用者、交易對象的信任。
不管公司現在是大或小,努力的做一個完整的規劃、大夢。個資保護大家一起加油!

發佈留言