臺東縣新興國民小學個人資料保護管理辦法
104 年 08 月 28 日校務會議通過
一、 目的: 為落實本校之個人資料保護管理,並遵循「個人資料保護法」(以下簡 稱「個資法」)之規定,特訂定本辦法。
二、對象與範圍:
2.1 對象:本校所有人員、與本校有業務往來之廠商或顧問(包含其 教職員工生或臨時雇員),均屬之。
2.2 範圍:本辦法保護對象為個資法所保護之個人資料。針對蒐集、處理、 利用及國際傳輸個人資料訂定相關規範,確保個人資料之安全。
三、定義:
3.1 個人資料管理體系:以營運風險導向為基礎,用以建立、實作、運作、 監視、審查、維持及改進個人資料管理。
3.2 個人資料管理指標: 界定如何量測所選擇的控制措施之有效性,以達成本校個人資料管
理目標。
3.3 個人資料:指包含自然人姓名、出生年月日、國民身分證統一編號、 護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基
因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動 及其他得以直接或間接方式識別該個人之資料。
3.3.1 個人資料之定義及範圍如日後因應主管機關或法規變動配合修訂 時,以修訂後的定義及範圍為準。
3.4 特種個人資料:指有關醫療、基因、性生活、健康檢查及犯罪前科之 個人資料。
3.4.1 特種個人資料(以下簡稱「特種個資」)之定義及範圍如日後因應 主管機關或法規變動配合修訂時,以修訂後的定義及範圍為準。
3.5 管理階層:包含董事會、總經理及經理人。
3.6 個資管理負責人:指負責組成個人資料保護管理執行組織,並負責制 定及落實管理程序之人。
3.7 個人資料保護管理執行組織:隸於個資管理負責人並統籌執行本校 個資法相關遵循事務。
四、權責:
4.1 本校所有人員,皆應瞭解並確實遵守本辦法,並應完全地參與本辦 法方案之執行。
4.2 本校管理階層負責指派個資管理負責人,就本校個人資料管理制 度之運作,負監督管理權限之責,並管理、指揮本校個人資料保護
管理執行組織之運作,執行落實遵循個資法。
五、內容:
5.1 本校個人資料保護管理執行組織為管理服務處,個資管理負責人為 管理服務處主管,負責本政策之擬訂及推展,並建立個資管理組織,
進行個人資料管理體系之規劃、實施、運作、監督、查核、維護與改 善作業,並定期或在重大變化時執行管理審查個人資料管理體系,確 保其運作之適切性及有效性。管理範疇宜依據業務規模及特性,包含
以下項目:
5.2 建立個人資料保護管理程序:採用與國內資安標準相當的個人資料管 理指標,建立個人資料管理程序。
5.3 規範個人資料蒐集、處理及利用原則,基於合法之特定目的在確實必 要的範圍內處理個人資料,其要項如下:
(1)確認蒐集個人資料之特定目的符合法令規定,並適當留存稽核的 軌跡。
(2)處理個人資料應依循本校資訊安全相關辦法,建立內部接觸資 料的權限及資料對應的風險等級,配合風險等級訂定控管機制。
(3)告知義務之履行:確認是否得免為告知,並依據蒐集情況採取適 當的告知方式。
(4)確認資料之利用符合特定目的,及是否可以進行特定目的外之利 用,並適當留存稽核軌跡。
(5)遵循對特種個資蒐集、處理或利用之限制。
5.4 訂定個人資料檔案安全維護措施以適當的之技術保護個人資料,提供 個人資料檔案適當之安全管理措施,保護其所蒐集、處理或利用之個
人資料。
5.5 建立個人資料管理事件緊急應變程序:
(1)訂定個人資料保護之可接受的風險程度與因應措施,當個資事件 發生導致利害關係人權益受損時,進行適當地回應與處理。
(2)設置處理申訴及諮詢的管道,供當事人行使關於個人資料的相關 權利。
5.6 持續維運個人資料保護管理的相關程序:
(1)進行相關個人資料管理程序、個人資料管理體系及個人資料管理 指標的評估及查核作業,以確保本政策及相關程序之有效性,並
檢查是否落實執行。
(2)如有未落實執行或規範變更時,協助改善相關的程序及管理措 施,以持續增進個人資料管理系統的有效性。
5.7 違反責任及罰則:
5.7.1 本校所有人員均應遵循本政策,違反者須依本校相關規定予 以處分。
5.7.2 如涉有相關民事賠償、刑事責任、行政裁罰者,本校得終止其 僱用關係並衡酌情節追訴其法律責任。
5.7.3 教職員工生對於本校之個人資料保護義務於雙方終止僱用關係後仍 繼續有效。 5.8 實施與修訂:
5.8.1 本辦法未盡事宜,悉依本校相關管理規範及相關主管機關法令 規定辦理。 5.8.2 本辦法經校務會議核准後實施,修正時亦同。
網
總務主任:
人事主任: