當出門入住旅館時,在櫃檯登記,常常會聽到一聲:「對不起,請您出示身份證件。」在開開心心度完假後,這些個人基本資料會被如何處理?觀光局要求,未來觀光旅館必須指定專人或建立專責組織,負責個人資料保護及管理,並提供旅客拒絕行銷的方式,如果當事人拒絕行銷,不應利用旅客個資進行行銷。
觀光局近日公「觀光旅館業個人資料檔案安全維護計畫標準辦法」草案,明定依據發展觀光條例設立登記,並且領取觀光旅館營業執照的國際及一般觀光旅館,均要納入規範。
個資法除第6條、第54條外,其餘條文於去年10月1日施行,為加強觀光旅館業,對於投宿旅客資料的保護措施,特別訂定這項辦法。
未來觀光旅館業,應訂定個人資料檔案安全維護計畫,以落實個人資料檔案的安全維護與管理,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
觀光旅館業就個人資料檔案安全維護管理得指定專人或建立專責組織,並配置相當資源,要透過認知宣導,及教育訓練使所屬人員,都能明瞭個人資料保護相關法令的要求、責任範圍及各種作業程序。
觀光旅館業蒐集個人資料(包括所屬員工資料),均應明確界定蒐集的特定目的為何,所蒐集的個人資料類別,以及範圍是否屬於必要。確認界定性質後,應定期清查所蒐集保有的個人資料,是否符合所界定的範圍。
觀光旅館業在清查所蒐集的個人資料類別及範圍時,如果發現有逾越特定目的必要範圍、特定目的消失、期限屆滿情,應予以刪除或其他停止處理。
為降低或控制因個人資料被竊取、竄改、損毀、滅失或洩漏等事故,造成資料當事人財產及非財產上的損害,觀光旅館業應要訂定相關因應機制,除了要通報有關單位,並且要查明事故的狀況,以及適當方式通知當事人。
觀光旅館業委託他人蒐集、處理或利用個人資料用的全部或一部時,應對受託人進行適當的監督,並明確約定相關監督事項與方式。
在首次行銷時,觀光旅館業要提供當事人拒絕行銷的方式,如果當事人拒絕,就應該立即停止,並且通知所屬人員。
而另一項常見爭議的重點是,如果旅客要向旅館查詢住宿紀錄到底可不可以?草案規定,要先確認確認是否為個人資料本人,或經其委託授權,可以進行查詢、閱覽、製給複製本,業者須告知是否酌收必要成本費用。
不過,這項規定也有例外條款,如果者是委託他人處理,並且有約定關監督事項,或是已經停止個資的利用,可以附上拒絕理由通知當事人。
草案也規定,觀光旅館業得採取資料安全管理措施,包括訂定使用可攜式設備或儲存媒體規範、採取適當的加密機制、備份個資料比照原件予以保護,如果紙本、磁碟、光碟片、晶片等媒介物報廢或轉作其他用途時,要採適當防範措施,以免個資洩漏。