附錄 B 個人資料管理規範
B.9 當事人權利
§11,§13 ,§14
§11,§13 ,§14
B.9.1.6 資料查詢 閱覽複製
施行單位應確保自然人對資料查詢閱覽複 製的權利。
§3,§10,
§13 B.9.1.7 拒絕 施行單位應確保具有針對自然人提出拒絕
個人資料處理作業請求時,進行考量與回 應的程序。
B.9.1.8 (建議)
自動決策 與資料剖 析
施行單位應識別由自動決策,包含可能明 顯影響自然人的資料剖析,所產生的個人 資料處理作業。
B.9.1.9 抱怨與申 訴流程
受理並正確處理個人資料相關抱怨與申訴 案件
實作指引
一、當事人權利行使(B.9.1)
(一)當事人權利行使程序(B.9.1.1)
施行單位應訂定當事人權利行使相關程序,包含:
1.建立當事人權利行使聯絡窗口、聯絡方式,以及處理流程。
2.當事人權利行使流程應涵蓋處理個人資料的所有單位,以個 人資料管理小組為管理單位,並由各單位個資管理窗口擔任 單位連絡窗口。
3.依據個人資料保護法,明定個人資料當事人可行使的權利,
及回覆時效;並同時建立當事人個人權利行使申請及執行進 度,定期清查的流程。
4.當事人權利行使受理,應確認是否為資料當事人之本人,或 經其委託。
5.應告知是否酌收必要成本費用及其收費基準,並遵守個人資 料保護法第十三條處理期限規定。
6.如具有個人資料保護法第十條但書、第十一條第二項但書或 第三項但書得拒絕當事人行使權利之事由,回覆時應說明法 律依據及理由。
(二)資料處理或利用情形(B.9.1.2)
施行單位應確保自然人得以依據請求,來確認與其有關的 個人資料是否已處理,且除排除事項外,可以對已處理之資訊 進行存取或複製,宜考量下列資訊:
1.處理目的。
2.個人資料的類別。
3.資訊揭露的接受者或類別,特別是第三國接受者或國際組 織。
4.如可能時,個人資料儲存的設定期限;如無法知道,則其用 於決定保存期限的準則。
5.具有個人資料更正或刪除,個人資料處理作業限制或拒絕等 權利。
6.具有向權責機關進行投訴的權利。
7.非直接向個資當事人蒐集的個人資料時,所有資訊來源的相 關資訊。
8.具有自動決策與資料剖析,及有關涉及之處理邏輯,處理作 業對自然人可能產生的重大後果。
9.個人資料傳輸至第三國或國際組織時,所採用適當的安全措 施。
(三)更正(B.9.1.3)
施行單位應確保自然人可及時更正其不正確的個人資料。
該程序應同時確保自然人可以補充不完整資訊。
(四)刪除(B.9.1.4)
施行單位應確保自然人依據其「刪除權」原則進行權利行 使請求時,予以適當處置。
施行單位宜確保自然人在下列情形,有權讓其個人資料得
以及時刪除。
1.依原始蒐集或處理目的,個人資料已無保留必要。
2.處理作業是基於同意書,而自然人已撤銷其同意書,資訊處 理已不再具有法律基礎。
3.自然人因質疑而反對處理作業且並無凌駕其權利的法律規 定,或是自然人拒絕行銷作業。
4.個人資料被非法處理。
5.個人資料須予以刪除以符合法律義務。
PIMS 確保在資訊曾公開情況下,以適當的方式通知其他 可能處理個人資料的單位,自然人已要求刪除其個人資料的要 求。
(五)處理限制(停止蒐集處理利用)(B.9.1.5)
施行單位應確保自然人有權對個人資料處理作業進行限制 (停止蒐集處理利用)。
施行單位宜確保自然人在下列情況下,有權對個人資料處 理作業進行限制:
1.個人資料正確性被自然人提出質疑時,在組織進行個人資料 正確性驗證期間。
2.非法進行處理作業時,自然人反對刪除個人資料且要求改以 限制使用。
3.組織不再需要處理目的所需個人資料,但為了自然人法律案 件成立、執行或辯護所要求保留。
4.自然人反對處理作業,且該限制要求因驗證組織是否有法律 依據可超越自然人權利,而為暫停狀態。
施行單位宜確保當自然人在處理限制將被前解除前接獲通
(六)資料查詢閱覽複製(B.9.1.6)
施行單位應確保具有針對自然人提出查詢閱覽複製個人資 料處理作業請求時,進行考量與回應的程序。
施行單位宜確保自然人對其資料可請求製給複製本之權 利,或可攜性的權利。
(七)拒絕(B.9.1.7)
施行單位應確保具有針對自然人提出拒絕個人資料處理作 業請求時,進行考量與回應的程序。
當自然人拒絕直接行銷目的相關的個人資料處理作業時,
施行單位應確保對該自然人的處理作業已經停止。
(八)自動決策與資料剖析(B.9.1.8)(建議)
施行單位應識別由自動決策,包含可能明顯影響自然人的 資料剖析,所產生的個人資料處理作業。
施行單位宜至少確保所自動決策可依據自然人要求進行人 為干預。
(九)抱怨與申訴流程(B.9.1.9)
施行單位應設計抱怨與申訴的受理處理流程,以確保有關 個人資料處理之抱怨,得到正確的處理。
1.定義接受當事人抱怨,與對抱怨處理方式提出申訴之窗口與 流程。
2.當事人抱怨與申訴之處理進度與結果,應每年至少清查一 次,清查結果宜納入持續改善的考量。