Q:企业委托外部单位进行市场调查工作,调查内容若涉及个人资料的搜集与处理,应该如何管理委外厂商,才符合个资法的规定?
依据个人资料保护法第4条“受公务机关或非公务机关委托搜集、处理或利用个人资料者,于本法适用范围内,视同委托机关”;又个资法施行细则第8条亦明确规定“委托他人搜集、处理或利用个人资料时,委托机关应对受托者为适当之监督”。因此,企业若委外其他市调业者进行个资的搜集与处理工作,仍在个资法管理范围内,须善尽选任与监督责任,否则无法避免相关法律责任。
NII协进会管理顾问建议,企业可在委外合约中载明有关个人资料的保密义务、个人资料安全相关责任,以及违反相关规定的罚则。此外,并应于合约中明确载明,在合约执行期间可对市调业者在个人资料保护管理相关作业保留稽核权,并陈述当合约终止时的应交还个人资料或予以删除。
对于与个人资料有关的委外活动整体的管理,NII协进会顾问进一步建议可参考国际ISO
27001:2013标准,有关A.15.1.1供应商关系的资讯安全政策控制措施,企业应建立委外活动的资讯安全规范;另也可以参考A.15.1.2供应商协议的安全说明(或诉求)控制措施,在与委外厂商间的合约中订定安全条件。
有关个人资料相关业务之委外安全作业如需进一步之咨询服务,欢迎与NII协进会联系;服务电话:02-25082353 分机308 刘小姐。