企業常見資料保護錯誤

英國資訊委員辦公室(Information Commissioner’s Office, ICO)為了幫助個人經營者、中小型企業瞭解資料保護事項,羅列一些常見的資料保護錯誤,並提供相關建議如下。

常見錯誤一、發送電子郵件給錯誤的對象

當你的通訊錄有好幾個相同名字的時候,這是非常容易發生的。當開始在收件者欄位輸入名字時,自動填入工具固然方便,可以加速寄信的過程。但是如果錯誤地將個人資料發送給錯誤的對象,那麼使用自動填入工具節省下來的幾秒鐘就會耗費你更多的時間。

如何解決:

1.盡快收回電子郵件,如果無法收回,聯繫收信者並請他們刪除。同時,在後續寄送電子郵件時,考慮關閉自動填入工具。

2.如果符合個資外洩的情形,則應依循相關法律規定,在資料外洩後72小時候儘速處理。

常見錯誤二、服務資訊與行銷資訊的混用

服務資訊(Service messages)與行銷資訊(marketing messages)兩者並不相同,服務資訊旨在透過提供重要的事實資訊讓人們瞭解情形,例如關於產品安全的警示。另一方面,行銷資訊則旨在推廣服務、企業或組織。

如何解決:

在蒐集與利用個人資料前,確保瞭解行銷的相關規定,無論是產品、服務或是想法,同時還需要注意不要將服務資訊與行銷資訊混為一談,即使在行銷郵件的末段添加一句服務資訊,仍然也需要遵守行銷的相關規定。

常見錯誤三、打開不熟悉的網頁連結或附件

你可能偶爾會收到陌生人的電子郵件,或者收到看起來可疑的連結或附件。有時候這些可能是釣魚郵件或其他類型的網路犯罪,而可能導致電腦系統的損壞。

如何解決:

1.為所有工作設備設置合適的防火牆

2.合於用途的儲存系統

3.訓練人員知道如何在點擊連結或打開附件前識別可疑的電子郵件

常見錯誤四、保留不需要的資料

你擁有的個人資料越多,就需要更多的儲存空間與安全措施來確保資料的安全,意味著需要花費更多的時間與金錢。例如當處理一個當事人行使權利的請求時,你可能需要搜尋成千上萬的舊文件,這將花費許多時間。另外,根據資料保護法的規定,個人資料的保存時間不應超過你所需要的時間。

如何解決:

如果你被要求保留一定時間的資訊,例如財務、醫療或法律紀錄,在保存政策中記錄理由。並且應該定期整理所擁有的資料,並且在不再需要資料時安全地銷毀個人資料。

常見錯誤五、忽略個人權利行使

在資料保護法中,人們對自己的個人資料能夠行使當事人權利,例如他們可以請求提供你所持有關於他的任何個人資料。

當事人權利行使可以透過書面或口頭的方式提出,人們不需要直接聯繫到組織的特定聯絡人或者使用特定的語言、形式。組織不能要求人們以書面行使當事人權利,或者要求他們使用特定表格。

如果你收到當事人以口頭的方式行使其權利,如果他願意的話,可以邀請他以書面形式提出,或是人們於電話中提出請求時,將其請求以書面記錄下來,有一個書面紀錄對雙方都是有益的。但無論是否有書面紀錄,人們的口頭請求仍然有效,例如員工在會議上要求公司提供他們的個人資料,這將被視為當事人權利行使的一種。

如何解決:

確保組織與員工瞭解如何識別當事人權利行使,以及如果收到相關請求應該怎麼辦。簡單來說,如果有人要求組織提供他們的個人資料,你需要在法定的期限內提供他們個人資料的複製本。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.從抖音案看中國大陸個人資料保護的發展
2.靠攏GDPR,日本通過新修正個人情報保護法
3.中國大陸個人信息保護法草案全文發布
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答