A(參考見解)
: 依據個人資料保護法第4條「受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關」;又個資法施行細則第8條亦明確規定「委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督」。因此,企業若委外其他市調業者進行個資的蒐集與處理工作,仍在個資法管理範圍內,須善盡選任與監督責任,否則無法避免相關法律責任。
NII協進會管理顧問建議,企業可在委外合約中載明有關個人資料的保密義務、個人資料安全相關責任,以及違反相關規定的罰則。此外,並應於合約中明確載明,在合約執行期間可對市調業者在個人資料保護管理相關作業保留稽核權,並陳述當合約終止時的應交還個人資料或予以刪除。
對於與個人資料有關的委外活動整體的管理,NII協進會顧問進一步建議可參考國際ISO
27001:2013標準,有關A.15.1.1供應商關係的資訊安全政策控制措施,企業應建立委外活動的資訊安全規範;另也可以參考A.15.1.2供應商協議的安全說明(或訴求)控制措施,在與委外廠商間的合約中訂定安全條件。
有關個人資料相關業務之委外安全作業如需進一步之諮詢服務,歡迎與NII協進會聯繫;服務電話:02-25082353 分機308 劉小姐。
|