為了配合個資法的需要,之前大家花了一番功夫,總算把含有客戶個資的委外廠商列出來,從電話行銷、客服,甚至於活動協辦廠商,洋洋灑灑列了一大堆。又經過各部門一陣唇槍舌戰,終於挑出了幾家廠商,這幾家廠商都有我們許多的客戶資料,在取得高階主管的同意後,決定組成聯合查核小組,看看這些廠商平日實際運作的情形。然而,名單決定後事情就來了,主要業務承辦的同仁三不五時電話打來,不是詢問什麼時候要去查,再不然就很委婉的詢問,要查那些項目,是不是可以先提供讓委外廠商先行準備。甚至還有的委外廠商就直接打電話來,表示如果能夠提供問卷,這樣他們填一填寄回來就好,我們也不必直接到現場。對於這樣的詢問,我們只把確定的查核日期告訴對方,其餘的部分我們只是很客氣的說要配合法令了解一下,也就沒多說什麼,就這樣開始了查核之旅。
來到第一家委外廠商,廠商排出大陣仗來接待,但不知道是中間傳遞的資訊有出入,還是廠商沒弄清楚我們來的意圖,從公司盤古開天的歷史講起,到未來擴張的藍圖說的頭頭是道,唯一沒有講的就是我們公司的個人資料在他們這如何運作。好不容易等到提問的時間,趕快先丟出一個議題。
「請問一下你們如何保護我們公司客戶的個人資料?」
「你說個資保護啊?這我剛才沒提到,我們預計要找顧問公司來進行輔導,剛剛這個案子才簽過,我們找的那家公司也是業界有名的公司,將來還可能要申請驗證。過個一、兩年你們再來看就完全不一樣了。」
「那你們現在怎麼做呢?」
「現在就照合約的要求啊!你們把資料給我們後,我們就照你們說的做啊!我們會提醒員工,這是客戶的資料,一定不可以帶走,要好好保管,不要隨便亂放在桌子上,這樣子還不夠嗎?」
「還有沒有做其他個資保護的作業呢?」
「那剩下的可能就等顧問公司來再說吧,他們很有經驗,到時候我們再看看要做些什麼。」
「那顧問公司會幫你們做什麼?如果要驗證的標準或範圍是什麼呢?」
「標準我也不太清楚,我們請顧問公司來就先做我們人力資源處這一塊,
這邊是我們有個資最多的地方,做完之後再看看有什麼表單其他部門可以拿來運用的,這種東西又不是我們的主業,有做就不錯了。」
看來又是一家搞不太清楚個資法的公司,難道個資保護只要做公司的人事就夠了?那客戶提供的個人資料就不重要了嗎?還是先靜觀其變,看看同業做的情形如何,如果其他人都沒做,又變成宣傳的重點。如果大家都有做,那也不會和別人差太遠。反正都覺得不會出事,那就走一步算一步。不是杞人憂天,但為什麼事前不肯多做些努力,總是要到出事情以後再來後悔呢?