運動彩券業於蒐集個人資料時,應檢視是否符合前條第一項所定之類別及
範圍。
運動彩券業於傳輸個人資料時,應採取必要保護措施,避免洩漏。
運動彩券業進行個人資料國際傳輸前,應檢視有無主管機關依本法第二十
一條規定為國際傳輸之限制,並且告知當事人其個人資料所欲國際傳輸之
區域,同時對資料接收方為下列事項之監督:
一、預定處理或利用個人資料之範圍、類別、特定目的、期間、地區、對
象及方式。
二、當事人行使本法第三條所定權利之相關事項。
〔立法理由〕 一、第一項及第二項,未修正。
二、增列第三項:按個人資料保護法(以下簡稱本法)第二條規定「本法
用詞,定義如下:…六、國際傳輸:指將個人資料作跨國(境)之處
理或利用。…九、當事人:指個人資料之本人。」第三條規定「當事
人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約
限制之:一、查詢或請求閱覽。二、請求製給複製本。三、請求補充
或更正。四、請求停止蒐集、處理或利用。五、請求刪除。」第二十
一條規定「非公務機關為國際傳輸個人資料,而有下列情形之一者,
中央目的事業主管機關得限制之:一、涉及國家重大利益。二、國際
條約或協定有特別規定。三、接受國對於個人資料之保護未有完善之
法規,致有損當事人權益之虞。四、以迂迴方法向第三國(地區)傳
輸個人資料規避本法。」又參考經濟部所定製造業及技術服務業個人
資料檔案安全維護管理辦法第九條規定「業者將消費者個人資料作國
際傳輸者,應檢視是否受經濟部限制,並且告知消費者其個人資料所
欲國際傳輸之區域,同時對資料接收方為下列事項之監督:一、預定
處理或利用個人資料之範圍、類別、特定目的、期間、地區、對象及
方式。二、當事人行使本法第三條所定權利之相關事項。」之文字體
例,明定有關國際傳輸個人資料之蒐集、處理及利用之內部管理程序
事項。
|
運動彩券業應訂定應變機制,在發生個人資料被竊取、洩漏、竄改或其他
侵害事故時,迅速處理,以保護當事人之權益。
前項應變機制,應包括下列事項:
一、採取適當之措施,控制事故對當事人造成之損害。
二、查明事故發生原因及損害狀況,並以適當方式通知當事人。
三、研議改進措施,避免事故再度發生。
運動彩券業應自第一項事故發現時起七十二小時內,填具個人資料侵害事
故通報與紀錄表(如附件),通報主管機關,未依時限內通報者,應附理
由說明;並自處理結束之日起一個月內,將處理方式及結果,報主管機關
備查。
依規定通報後,主管機關得派員檢查,受檢者不得規避、妨礙或拒絕,主
管機關並得依本法第二十二條至第二十五條規定為適當之監督管理措施。
〔立法理由〕 一、第一項:參酌金融監督管理委員會指定非公務機關個人資料檔案安全
維護辦法第六條第一項規定「非公務機關為因應個人資料之竊取、竄
改、毀損、滅失或洩漏等安全事故…,應訂定下列應變、通報及預防
機制…」,爰將「事件」修正為「事故」。
二、第二項,配合第二項修正,酌作文字修正。
三、修正第三項及增列第四項:
(一)依據行政院一百十年二月三日召開「行政機關落實個人資料保
護執行聯繫會議」決議略以,各中央目的事業主管機關所定個
人資料檔案相關安全維護辦法,應至少明定外洩通報對象、時
點、應通報事項;次參酌國家發展委員會一百十年六月二十五
日發法字第一一0二000九四八號函,建議修正本條規定有
關通報時限為七十二小時、參考該委員會訂定之「個人資料侵
害事故通報與紀錄表」增訂應通報之內容,及增訂後續行政檢
查事項。
(二)第三項,除前揭說明以外,復參考一百十年八月十一日訂定之
行政院及所屬各機關落實個人資料保護聯繫作業要點第六點第
一項「中央目的事業主管機關接獲非公務機關通報或副知,…
應於接獲通報、副知或知悉時起七十二小時內,填列監督通報
紀錄表(如附件一)…」及該通報紀錄表之「首次通報作業」
(源自非公務機關之外洩通報內容)欄位示明填寫「是否於發
現個資外洩後七十二小時通報」等意旨,本條第三項規定為督
促運動彩券業於發現個人資料侵害事故後儘速通報主管機關,
俾利後續行政措施及處置作業,爰修正個人資料侵害之通報時
限,將「事件發生之日起三日內」修正為「事故發現時起七十
二小時內」,並明定應填具個人資料侵害事故通報與紀錄表,
及未依時限內通報者,應附理由說明。
(三)第四項,依第三項規定通報後,主管機關得派員進行行政檢查
,受檢者不得規避、妨礙或拒絕;主管機關並得依本法第二十
二條至第二十五條規定,為適當之監督管理措施。
|