私立職業訓練機構之個資保護相關法令重點解析
有澤法律事務所戴丞偉律師
一、前言
職業訓練機構提供職業訓練服務時,往往需要蒐集、處理及利用參訓者的個人資料。為確保個資安全,並符合相關法規要求,勞動部根據個人資料保護法(下稱「個資法」)第27條第3項,制定「私立職業訓練機構個人資料檔案安全維護計畫及處理辦法」(下稱「本辦法」)。本文將針對個資法及本辦法之相關重點內容,簡介如下:
二、個資法與本辦法之相關監管規範
私立職業訓練機構屬個資法第2條第8款所稱「非公務機關」,就下列事項應遵守相關法令:
(一)特種個人資料之保護
有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之特種個人資料,除個資法第6條第1項各款所定情事(例如:法有明文、當事人自行公開或已合法公開之個人資料等)外,不得蒐集、處理或利用之。
(二)個人資料之蒐集、處理及利用
1.蒐集、處理之目的
個人資料之蒐集或處理,應有特定目的,並符合個資法第19條第1項所定各款事由(例如:法有明文、經當事人同意等)之一。
2.事前告知義務
向當事人蒐集其個人資料時,若無個資法第8條第2項所列事由(例如:依法免為告知、蒐集個資係履行法定義務所必要等),應明確告知同條第1項所列事項;個人資料若非由當事人所提供時,若無個資法第9條第2項所列事由(例如:第8條第2項所列事由、個資已合法公開或經當事人公開等),應於處理或利用前明確告知個人資料來源及第8條第1項所列事項。
3.目的外利用禁止
關於個人資料之利用,除有個資法第20條但書所列事由(例如:法有明文、增進公益必要等)外,應於蒐集之特定目的必要範圍內為之。
(三)個人資料之安全維護
個資法第27條要求非公務機關,對於所保存之個人資料採行適當之安全措施,並授權中央目的事業主管機關針對各業種制定個人資料檔案安全維護計畫辦法。為此,勞動部制定人力仲介業個資辦法,要求私立就業服務機構落實下列措施:
1.訂定個人資料檔案安全維護計畫(下稱安全維護計畫),其中應包含個人資料保護規劃、個人資料管理程序、其他個人資料檔案安全維護事項。其中,個人資料保護規劃應包含本辦法第4條所列事項(第3-4條)。
2.指派專責單位負責個人資料檔案安全維護管理、清查所保有之個人資料並納入安全維護計畫建檔、分析相關風險並於安全維護計畫中訂定適當管控措施(第5-7條)。
3.針對所保有之個人資料遭竊取、竄改、毀損、滅失或洩漏等事故,安全維護計畫應建立應變處理機制、事故調查機制、檢討預防機制,並於發生前開事故時72小時內填具通報紀錄表,向所在地之縣市政府通報(第8條)
4.針對個人資料之蒐集、處理、利用、國際傳輸、維護等事項建立作業程序,並定期確認保有個人資料之特定目的是否消失或屆滿(第9-16條)。
5.針對人員管理、資料安全管理、設備安全管理、技術管理採取一定之措施(第17-20條)。
6.執行上開管理程序過程中應保存紀錄,並於業務終止後,自個人資料所儲存之媒介物中,將個人資料予以刪除或銷毀,並記錄、留存刪除或銷毀之方法、時間及證明已刪除或銷毀之方式(第21-22條)。
三、罰則
若有違反個資法之相關規定,除可能遭行政機關之裁罰(個資法第47、48條),亦可能受有刑責(個資法第41、42條)。此外,如造成他人之損害,亦可能須負擔民事損害賠償責任(個資法第29條)。