個人資料保護法-二部曲_行為篇

文:蔡宜蓁 2021-05-10

個人資料保護法 個資法




過去企業為了充分運用客戶資料,往往不會輕易將客戶的資料刪除,大部份會盡可能保存下來。《個資法》擴大範圍內容後,我們應該注意什麼才不會違法呢?


《個資法》從蒐集、處理和利用三大面向來要求個人資料的合理使用範圍,以下先針對個人資料的「蒐集」、「處理」、「利用」等這三種行為做清楚的說明。


《延伸閱讀:個人資料保護法-首部曲_定義篇


個資蒐集、處理及利用行為的定義


個人資料的使用一定會先從資料蒐集開始,所謂的「蒐集」就是指以任何方式取得個人資料,比如:客戶購買商品或服務時所填寫的個人資料,或是辦研討會時在出入口放置「惠賜名片」的箱子,只要牽涉到個人資料的蒐集方式都算。


當資料被蒐集了,接下來就是資料處理的部分,這裡的「處理」指的是「為了建立個人資料檔案作為資料的記錄,輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送等行為」。


比方說將客戶所留的個人資料輸入到電腦系統當中,或者是電腦系統中可檢索到客戶聯絡人的個人資料,或是行銷人員針對已存在的客戶資料庫進行編輯、更正、刪除等行為,都稱之為個人資料的「處理」。


當個人資料被蒐集與處理了,最後就是如何「利用」個人資料,只要將蒐集來的個人資料做處理以外的使用都算是「利用」。比如:將客戶所留下來的電子郵件地址寄送EDM、將蒐集得來的個人資料再供客戶使用,或是將客戶惠賜的名片再傳給別的單位使用。


《個資法》實施前後的差異


《個資法》實施前,許多企業針對蒐集得來的個人資料都會加以處理,例如:建置資料庫然後反覆使用。但《個資法》實施後,企業對於個人資料的蒐集和處理必須要有特定目的,並且還必須符合以下的各種情形:


第一種狀況是法律明文規定的,例如:勞基法有規定雇主應該備置勞工名卡,登記姓名、身份證、傷病等資料。


第二種情形是因為跟當事人有契約關係,例如:為了購買商品簽訂合約而留下的姓名、電話。


第三種情況是當事人已經自行公開,或其他已經合法公開的個人資料,企業可以在該特定目的內運用。


第四種狀況是經得當事人書面同意所取得的個人資料,所謂「書面同意」不限於紙本,另外以電子文件、傳真或其他適當方式,只要日後可以完整呈現,並可取出以供查驗,都是屬於「書面同意」的範圍內。


第五種是取自於一般可得知來源的個人資料,像是企業從搜尋引擎蒐集得來的個人資料,因為無法查證資料是否合法,所以,《個資法》同樣將這類型視為合法蒐集,但是如果企業後來發現這些資料不合法,或者使用者要求企業禁用時,企業就必須刪除或停止使用了。


企業在蒐集個人資料時應同時告知對方收集的目的,不能逾越所選定的目的範圍,原則上一定要將每一個目的明確和清楚的告知當事人,才能算是合法蒐集。企業應該要向當事人主動告知企業的名稱、蒐集的目的、資料的類別、當事人的權利、資料被利用的時間、地區、對象跟方式。


如果現有的客戶資料不是直接跟當事人取得,必須要在處理或利用之前進行必要的告知,也可以在首次利用時同時執行告知。萬一發生個資外洩,例如:企業的網路遭駭客攻擊,導致個人資料被竊取,也必須主動告知當事人。


《個資法》保障個人權利

企業可以根據《個資法》的規定,蒐集、處理及使用個人資料,但是個資法也保障了個人的個資權利。每個人對於他的個人資料都可以請求閱覽或查詢,請求提供複製本,請求更正或補充、請求停止蒐集、停止處理或利用;甚至企業還必須回應客戶的請求,刪除資料庫中的客戶記錄,因為企業必須滿足個人提出的請求,勢必得改變現有的個人資料作業流程。


例如:企業為了日後可以舉證確實執行了客戶的請求,除了要記錄客戶提出的個資權利請求之外,還得記錄執行請求的過程,各種跟個資相關的作業流程都會受到影響,必須重新調整作法,因此這對企業營運而言,是個非常艱巨的挑戰。


《個資法》的案例解析


以上是個資法的行為規範,讓我們再來看看以下這兩則案例。


案例一:A公司可不可以將客戶的訂購資料,例如:帳戶號碼跟姓名在未取得客戶同意前就轉寄給同集團的B公司使用嗎?


答案是不可以的。因為當初A公司取得客戶的資料,是因為跟客戶有契約的關係,但是同集團的B公司跟當事人並沒有契約的關係,如果要轉寄給B公司使用的話,必須要經過當事人的書面同意。


案例二:公司可不可以將電子報訂閱戶的電子郵件做問卷調查呢? 可不可以將資料用來進行行銷活動?


答案是公司可以做問卷調查,但是目的應該要跟當初蒐集訂閱戶個資的目的相同,但是不可以將蒐集到的資料作為行銷之用,建議在申請成為訂貨的資料上提供勾選是否願意收到行銷郵件的項目。


【下集預告】個人資料保護法-三部曲_責任篇


更多精彩課程請上知識學院網校觀看:https://reurl.cc/0DMgVY



相關資訊

  • 數位轉型 工業4.0 安索夫矩陣

    數位轉型翻轉企業價值_從安索夫矩陣思考企業轉型策略

    今天要跟各位分享的是「數位轉型」如何翻轉企業的價值? 大家可能有個疑問,轉型這個議題其實已經講了很久,而現在大家都在談「數位轉型」,到底「數位轉型」跟以前的轉型有什麼不一樣? 「數位轉型」是從工業4.0的議題延伸而來的,不管是企業或者是顧問公司都認為「數位轉型」是未來企業在工業4.0趨勢下的重要經營戰略。

  • 新冠疫情 防疫新生活 心理調適

    防疫新生活,內心焦慮爆表,幾招教你緩解恐慌!

    近來台灣疫情延燒,每天都有大量新聞與資訊充斥,或是社群上也有各種貼文與討論, 你是否也陷入想關心疫情,但又不想被太多負面能量綁住;或是擔心自身感染風險等而陷入焦慮。新冠肺炎帶給大家情緒、生理、思維和行為上的壓力,你要先知道你不孤單。以下我們整理新冠肺炎的衝擊下,每個人可以如何調適自己的心理。

  • 個人資料保護法 個資法

    個人資料保護法-首部曲_定義篇

    民國84年制定「電腦處理個人資料保護法」,徵信業、電信業、醫院、學校、金融業等八大行業都必須遵守,但由於該法條不符合社會的需求;因此,在民國99年4月修訂了「個人資料保護法」,而且已經由立法院三讀通過;公告後經過兩年施行細則修訂,該法已於101年10月1號正式實施上路。究竟「個資法」的定義及規範的對象為何?

x