2012年8月29日 星期三

成立個資因應小組要有方法

成立個資因應小組要有方法

要徹底落實個資法,得靠專責單位,但企業要成立個資因應小組,可不是隨便找幾個員工開個會就行了,個資因應小組的成立可大有學問 

個人資料保護法規定必須採取適當的安全維護措施,而個資法施行細則草案更進一步規定安全維護措施必須涵蓋的11個要項,其中第一項就是「成立管理組織,配置相當資源」,所以企業因應個資法的第一步,應該就從成立「個資因應小組」做起

不過,近日法務部送交行政院審查的施行細則版本,卻傳出已將「成立管理組織」修改為只須「設立個資管理專責人員」,這是不是代表企業不需要再成立個資因應小組了呢?

多位個資法專家都認為,企業若要確實遵循個資法,仍有必要成立個資因應小組,因為有專責單位在推動、稽核,才能持續改善個資保護作法,徹底落實個資法的規定。

成立個資因應小組的目的

臺灣BSI總經理蒲樹盛指出,從法律、制度與標準三大構面來看,成立個資因應小組皆有其必要性。從法律面來看,即使法規沒有強制要求,但企業唯有成立組織,才能投入資源,並且透過專責組織達到指揮、推動和監督的功用,持續落實個資保護的安全維護措施,才能確保企業一直遵循法規。

從制度面來看,企業若要透過PDCA循環機制,來持續改善個資保護做法,那麼只由專人來負責是不夠的,唯有透過專責組織,才能確保PDCA流程能不斷循環。而從標準面來看,包括BS 10012等國際個資保護標準,都規定企業必須成立推動小組,以將個資保護作法落實在日常的作業流程。

個資因應小組要涵蓋跨部門
個資因應小組該包含哪些成員呢?臺灣勤業眾信執行副總經理萬幼筠認為,任何部門只要其作業與個資法所規定的個資蒐集、處理、利用和國際傳輸有關,就必須在個資因應小組有代表人

企業許多部門的作業都與個人資料有關,例如,人資部門擁有員工個資與薪資資料;總務部門擁有不少約聘僱人員或派遣人員的個資,有些公司的股務部門設在總務部,因此也擁有許多股東的個資。財務部門,因為要負責許多應收、應付和催收帳款,擁有許多個人財務資料;而產品服務、售後服務或客戶服務等部門,則會擁有許多客戶的個人資料。

IT部門經常實際負責許多個資流程的處理,而法務部門除了要落實法規遵循的要求外,也必須協助公司盤點和審視各種合約,或者負責打官司,也會經手許多相關人士的個人資料。這些與個資有關的部門,都必須派員加入個資因應小組。

此外,萬幼筠認為,為了落實公司治理,必須檢查各個部門的營運是否有切實落實相關的個資保護措施,稽核部門的參與和監督就顯得格外重要。

個資因應小組的任務,是在公司營運決策之下,釐清個資保護的範圍和深度,制定相關的個資保護制度。由於個資法對於許多作業流程會造成很大的影響,有些流程甚至涉及多個部門,因此來自不同部門的成員,就能共同討論出大家都能接受的作法,同時再負責各自部門的個資推動事務。


誰當召集人,決定個資推動成敗

至於個資因應小組最重要的召集人,該由誰來擔任呢?個資法專家一致認為,企業因應個資法的成敗關鍵,在於老闆帶頭推動個資法

有些公司像是臺灣安麗、PayEasy,這些意識到自身業務與個資法息息相關的公司,是由總經理親自跳下來擔任個資因應小組的召集人。這麼做有許多好處,因應個資法勢必會改變許多工作流程,甚至是不同部門因此而有所折衝,而總經理就能第一時間解決人員與組織的衝突問題;再者,推動個資法必須投入相當的資源,而總經理擁有預算、人力的支配權,能給予充分的支援。

不過,也不是所有公司都適合由總經理帶頭推動個資法,達文西個資暨高科技律師事務所主持律師葉奇鑫表示,只要依照三個原則:有權、有錢、有人,來挑選個資因應小組召集人,就可以做出一番成果

召集人要有實質的權力,才能叫得動各個單位;也要有預算,才有足夠的資源落實管理制度與保護措施;更要有人力,才能夠透過分工和各司其職的方式,逐步推動並落實相關的制度。

葉奇鑫指出,個資小組在企業裏有多大的號召力,取決於召集人在企業組織的層級,例如由總經理擔任召集人,那麼個資小組如同總經理辦公室,計畫推動起來自是風行草偃。如果不是由總經理擔任,那麼個資小組召集人最起碼也要是高階主管。若是政府部門,召集人最好是副首長以上的位階,也可以是主秘或副主秘的角色;若是企業,個資小組召集人應是企業裏的第二大或第三大主管,通常也就是副首長以上的職位。

各部門成立部門監督管理小組
蒲樹盛表示,各個部門也應該成立部門監督管理小組,指派具有適當資格或經驗的人員擔任監管個資進度的承辦人,負責每日監督組織遵循並落實個資法的狀況,以確保所有員工都能夠遵守相關的個資保護規範。

部門監督管理小組擔任的是一個「承上啟下、折衝妥協」的關鍵角色,除了協助高層落實法規與政策要求外,也必須肩負協助組織成員落實個資保護的各種規定。

個資因應小組需與績效制度連結
個資因應小組要能夠動起來,公司經營階層的態度非常重要。蒲樹盛便建議,公司高階主管,例如董事長或總經理等,可以具名寫信給每一位員工,告知成立個資因應小組,並公布小組成員名單以及小組任務及里程碑。他認為,這是一種凝聚公司對個資因應小組共識的好方法。

除了寫信,葉奇鑫認為,個資因應小組發起人帶領相關成員以及重要的一級主管,共同宣布保護個資的承諾,也是一種展現單位組織研發的作法。就像是電子商務業者PayEasy總經理林坤正,在成立個資因應小組後,便帶領個資小組成員和全公司一級主管,共同宣誓落實個資保護的企圖心。

葉奇鑫說,個資因應小組從一開始的籌備、定案到後續的開會檢討、進度追蹤等,專案初期適合每周至少召開一次定期會議,等到制度逐步落實後,則可以每兩個月或每季召開定期會議。萬幼筠指出,有許多個資因應小組已經上軌道的企業,在每個月的經營管理會議上,都會定期檢討並報告個資小組的執行進度與運作狀況。

在推動各種專案任務編組時,難免會遇到專案同仁不配合的情況。萬幼筠表示,就組織變革的層次而言,員工或小組成員不配合可以分成「不知」、「不能」和「不願」等三個層次。

他指出,員工若不知該怎麼做,企業要提供適當的教育訓練,培養員工相關的能力;若是不能做,可能是涉及到沒人、沒錢或沒時間,可以透過工作設計、提供資源和團隊合作的方式來改善;但員工不願意做,找出對員工有影響力的關鍵風險指標(KRI),並與員工績效系統和獎懲制度作連結,就可以強化員工的自發性和自主性。


時間來不及怎麼辦?

許多企業打算等到新版個資法施行細則公布後,才決定後續的因應措施,一旦新版個資法如期在今年10月1日施行,在剩下不到2個月的時間,要作完別人在過去2年逐步打底的事,根本是不可能的任務。

因此,葉奇鑫建議,如果來不及從頭做起,可以先做到形式上的合法,然後再來落實實質上的合法。形式上合法的第一步,就是先成立個資因應小組,每一個成員的角色和執掌都定義清楚,對全體員工公告外,也必須留下相關的記錄跡證

另外,形式合法的第二步就是,企業對於個資的蒐集、處理、利用等過程,也都必須符合個資法的定義,例如,蒐集個資前要告知當事人使用的特定目的;提供個資當事人行使個資查詢、閱覽、補充、更正、請求複製本、刪除或停止處理或利用個資等個資權利等。

葉奇鑫認為,一般企業若可以讓個資的蒐集、處理、利用和國際傳輸都符合法律的規範,就可以達到形式上的合法。「只剩下不到2個月的時間,非公務機關還來得及完成這件任務。」他說,當企業經歷第一階段形式合法的過程後,全體員工對於個資保護也會更有意識,接著針對每一個實際流程面進行實質合法的隱私權衝擊分析、個資盤點、風險評鑑等,整體因應實質合法的因應措施,執行效果會更好。

萬幼筠則建議,第一步要成立個資因應小組,接下來先求符合施行細則其餘規定的10項安全維護措施,並接著從組織單位中,個資成分最重的流程開始著手進行相關的個資盤點、風險評鑑等因應措施。

轉載自《iThome》