郭正亮
選擇章節
第十二條
公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。
公務機關或非公務機關所保有之個人資料,有被竊取、洩漏、竄改或其他侵害者,應於知悉後七十二小時內通知中央目的事業主管機關或直轄市、縣(市)政府,並於查明後以適當方式通知當事人。若情節重大、對當事人權益有重大危害之虞者,應立即通知當事人。
立法說明
一、本條修正第一項。
二、依照當前規定,(非)公務機關有個資外洩等情事時,無告知中央目的事業主管機關之義務,也僅有在違反個資法時,應在查明後通知當事人,若機關自認未違法,則無通知之義務,形同法律漏洞。爰參考歐盟議會在2016年4月27日通過「個人資料保護規則(the EU General Data Protection Regulation, GDPR」,修正本條條文,要求各機關有個資外洩等情事,無論違法於否,都應通知中央目的事業主管機關或直轄市、縣(市)政府,並待查明後通知當事人。若有情節重大者,則應立即通知當事人。
三、非公務機關為公開發行公司者,若有本條所述情事,應通知金融監督管理委員會,作為公司治理所應揭露之資訊。
二、依照當前規定,(非)公務機關有個資外洩等情事時,無告知中央目的事業主管機關之義務,也僅有在違反個資法時,應在查明後通知當事人,若機關自認未違法,則無通知之義務,形同法律漏洞。爰參考歐盟議會在2016年4月27日通過「個人資料保護規則(the EU General Data Protection Regulation, GDPR」,修正本條條文,要求各機關有個資外洩等情事,無論違法於否,都應通知中央目的事業主管機關或直轄市、縣(市)政府,並待查明後通知當事人。若有情節重大者,則應立即通知當事人。
三、非公務機關為公開發行公司者,若有本條所述情事,應通知金融監督管理委員會,作為公司治理所應揭露之資訊。
第二十七條
非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
前項之非公務機關人數超過五百人者,應設置專人負責資料保護工作,並確保機構對個人資料之蒐集或處理,符合本法規定。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
前項之非公務機關人數超過五百人者,應設置專人負責資料保護工作,並確保機構對個人資料之蒐集或處理,符合本法規定。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
立法說明
一、本條新增第二項,原第二、三項挪為第三、四項。
二、本法於第十八條規定「公務機關保有個人資料檔案者,應指定專人辦理安全維護事項」,對非公務機關則未有相似要求,故同樣參考歐盟GDPR,於本條要求非公務機關保有個人資料檔案者,若其機關規模超過五百人,亦須設置專人負責個資保護工作,並確保該機構對個資之蒐集與處理,符合個資法各項要求。
二、本法於第十八條規定「公務機關保有個人資料檔案者,應指定專人辦理安全維護事項」,對非公務機關則未有相似要求,故同樣參考歐盟GDPR,於本條要求非公務機關保有個人資料檔案者,若其機關規模超過五百人,亦須設置專人負責個資保護工作,並確保該機構對個資之蒐集與處理,符合個資法各項要求。
第四十八條
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰:
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰:
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
四、違反第二十七條第一項、第二項或未依第三項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
四、違反第二十七條第一項、第二項或未依第三項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
立法說明
一、本條修正第一項第四款。
二、配合第二十七條之修法,調整相關文字。
二、配合第二十七條之修法,調整相關文字。
