鍾佳濱
蘇震清
選擇章節
第二十七條
非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
非公務機關,有下列情形之一者,應指定資料保護官:
一、依非公務機關之業務規模及特性,其資料處理之目的、本質及範圍,需系統性的大規模處理個人資料者。
二、非公務機關須大規模處理特種個人資料。
非公務機關具前項各款以外情形,認有指定資料保護官之必要者,亦得為之。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
非公務機關,有下列情形之一者,應指定資料保護官:
一、依非公務機關之業務規模及特性,其資料處理之目的、本質及範圍,需系統性的大規模處理個人資料者。
二、非公務機關須大規模處理特種個人資料。
非公務機關具前項各款以外情形,認有指定資料保護官之必要者,亦得為之。
立法說明
一、日前我國個資外洩事件頻生,肇因於機關內部控制與保護個人資訊之措施不完善。茲參照歐盟GDPR第38條等規範,增訂「資訊保護官(Data Protection Officer)」之相關規定。
二、適用主體上,非公務機關處理大量個人資料時,因涉及大量個人資訊處理,又係依此營利,自應設置資訊保護官。
三、非公務機關,若未符合上述設置條件,亦得考量自身需求,設置資訊保護官,以符本法保護個人資訊之目的。
二、適用主體上,非公務機關處理大量個人資料時,因涉及大量個人資訊處理,又係依此營利,自應設置資訊保護官。
三、非公務機關,若未符合上述設置條件,亦得考量自身需求,設置資訊保護官,以符本法保護個人資訊之目的。
第二十七條之一
資料保護官應具處理相關事務之專業經驗或資格。
資料保護官得為非公務機關所屬員工。但非公務機關需公告契約內容,並報備目的事業主管機關。
資料保護官於無利害衝突之情事,得兼任非公務機關之其他職位。
資料保護官得為非公務機關所屬員工。但非公務機關需公告契約內容,並報備目的事業主管機關。
資料保護官於無利害衝突之情事,得兼任非公務機關之其他職位。
立法說明
一、本條增訂。
二、資訊保護官應具專業性,聘任時,應具實際從事資訊保護之智識與經驗以及個人資訊等隱私權保護意識。
三、比較法中,資訊保護官設置方法,有為機關外部承攬專業人士,亦有考量業務需求,由內部職員擔任。後者而言,恐產生利益或義務衝突。因此,雖原則允許機關內部人員擔任,但必須將聘任契約內容,公告並報備目的事業主管機關。若有義務或利益衝突情事,得事後禁止之。
二、資訊保護官應具專業性,聘任時,應具實際從事資訊保護之智識與經驗以及個人資訊等隱私權保護意識。
三、比較法中,資訊保護官設置方法,有為機關外部承攬專業人士,亦有考量業務需求,由內部職員擔任。後者而言,恐產生利益或義務衝突。因此,雖原則允許機關內部人員擔任,但必須將聘任契約內容,公告並報備目的事業主管機關。若有義務或利益衝突情事,得事後禁止之。
第二十七條之二
資料保護官之職務內容為:
一、應盡告知所屬非公務機關遵循本法義務。
二、定期檢查所屬非公務機關之個人資料防護措施是否符合本法。
三、非公務機關受請求評估影響時,應提供建議,並監督其執行。
四、應配合目的事業主管機關之執法行為。於必要時,擔任各機關間之聯絡站,於適當時期提供其他事項之諮詢。
當事人得逕行向資料保護官,請求個人資料之處理。
一、應盡告知所屬非公務機關遵循本法義務。
二、定期檢查所屬非公務機關之個人資料防護措施是否符合本法。
三、非公務機關受請求評估影響時,應提供建議,並監督其執行。
四、應配合目的事業主管機關之執法行為。於必要時,擔任各機關間之聯絡站,於適當時期提供其他事項之諮詢。
當事人得逕行向資料保護官,請求個人資料之處理。
立法說明
一、本條增訂。
二、資訊保護官的設置宗旨,在維護已蒐集、利用、處理之資訊之隱私。藉由公務機關及非公務機關設置於其內部,事先確立本法明定之個資保護程序及規範要求,實際落實於機關之資訊保護措施。事後亦須定期檢查實效、評估保護措施的風險,預防個人資料外洩情事。於資料外洩時,資訊保護官應當配合目的事業主關機關之行政檢查,協助了解事實,使案情透明以從速處理,即時遏止個資外洩事件延續,使損害擴張範圍。
三、另外,遇處理資料相關事宜,為求迅速,並符合本法之保護方法、意旨,資料主體得逕向資料保護官,請求個人資料之處理。
二、資訊保護官的設置宗旨,在維護已蒐集、利用、處理之資訊之隱私。藉由公務機關及非公務機關設置於其內部,事先確立本法明定之個資保護程序及規範要求,實際落實於機關之資訊保護措施。事後亦須定期檢查實效、評估保護措施的風險,預防個人資料外洩情事。於資料外洩時,資訊保護官應當配合目的事業主關機關之行政檢查,協助了解事實,使案情透明以從速處理,即時遏止個資外洩事件延續,使損害擴張範圍。
三、另外,遇處理資料相關事宜,為求迅速,並符合本法之保護方法、意旨,資料主體得逕向資料保護官,請求個人資料之處理。
第二十七條之三
非公務機關應確保資料保護官得適當、即時執行職務,必要時應給予協助。
非公務機關,應維持資料保護官之獨立性,禁止為下列不利措施:
一、利用上級之職務命令,限制其職務執行。
二、以執行職務為由,為職位上之不利影響。
資料保護官,對於執行職務之結果,應逕向非公務機關最上級報告。
非公務機關,應維持資料保護官之獨立性,禁止為下列不利措施:
一、利用上級之職務命令,限制其職務執行。
二、以執行職務為由,為職位上之不利影響。
資料保護官,對於執行職務之結果,應逕向非公務機關最上級報告。
立法說明
一、本條增訂。
二、資訊保護官,作為公司內部執行本法對象,自應確保其獨立性、中立性。執行職務時,應職務之需求給予適當、必要之協助,使其不受任何第三人妨礙與影響。因此,其執行職務時,禁止以上級之職務命令或指令,限制其執行職務。事後亦不得以其執行職務為由,為職位上之不利影響或處分。
三、另為確保資訊保護官執行職務結果得以真實、直接的揭露,明定資料保護官,不經內部其他職員審視,應逕向最上級進行報告。
二、資訊保護官,作為公司內部執行本法對象,自應確保其獨立性、中立性。執行職務時,應職務之需求給予適當、必要之協助,使其不受任何第三人妨礙與影響。因此,其執行職務時,禁止以上級之職務命令或指令,限制其執行職務。事後亦不得以其執行職務為由,為職位上之不利影響或處分。
三、另為確保資訊保護官執行職務結果得以真實、直接的揭露,明定資料保護官,不經內部其他職員審視,應逕向最上級進行報告。
