【宣導】個人資料管理安全政策
公告日期:2021年11月11日張貼人:圖資處系統組
弘光科技大學個人資料管理安全政策
1.目的:
弘光科技大學(以下簡稱本校)為落實個人資料之保護及管理並符合【個人資料保護法】之要求,特訂定個人資料管理安全政策(以下簡稱本政策),以為遵循。
2.適用範圍:
本校各單位。
3.政策目標:
3.1 提升個人資料保護管理能力,創造可信賴個資保護及隱私環境。
3.2 保護業務相關個人資料安全,免於因外在威脅或內部不當管理使用,致遭受竊取、竄改、 毀損、滅失、或洩漏等風險。
3.3 個人資料流程定期風險評估,鑑別本校可接受的風險等級。
3.4 依據【個人資料保護法】、【個人資料保護法施行細則】與【BS 10012:2017】要求, 保護個人資料蒐集、處理、利用、儲存、傳輸、銷毀之過程。
3.5 強化個人資料保護安全意識,定期辦理個人資料保護教育訓練。
4.個人資料之蒐集與處理:
4.1因校務所需取得或蒐集之包括但不限於個人之姓名、出生年月日、國民身分證統一編號(護照號碼)、特徵、指紋、婚姻、家庭、教育、職業等個人資料,應遵循我國【個人資料保護法】等法令,不過度且符合特定目的、相關且適當並公平與合法地從事個人資料之蒐集與處理。各權責單位主管負責所屬單位業務範圍之風險評估結果審核作業。
5.個人資料之利用及國際傳輸:
5.1 於利用個人資料時,除需依特定目的必要範圍內之外,如需為特定目的以外之利用時, 將依據個資法第二十條之規定辦理;倘有需取得用戶之書面同意之必要者,應依法取得 用戶之書面同意。
5.2 所蒐集、處理之個人資料,應遵循我國個資法及【BS 10012:2017】之規範,且個人資料之使用為營運或業務所需,方可為承辦同仁利用。
5.3 取得之個人資料,如有進行國際傳輸之必要者,將依據個資法第二十一條之規定辦理; 定謹遵不違反國家重大利益、不以迂迴方法向第三國傳遞或利用個人資料規避個資法之 規定等原則辦理,又,倘國際條約或協定有特別規定、或資料接受國對於個人資料之保 護未有完善之法令致有損害當事人權益之虞者,將不進行國際傳輸,以維護個人資料之 安全。
6.個人資料之調閱與異動:
6.1 當接獲個人資料調閱或異動之需求時,將依據個資法第三條之規定辦理;於合法範圍內 進行當事人之個人資料查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止 蒐集、處理、利用、請求刪除。
7.個人資料之例外應用:
7.1 對個人資料之利用,除個資法第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,將依據個資法第二十條之規定辦理;得為特定目的外 之利用:。
7.1.1 法律明文規定。
7.1.2 為增進公共利益所必要。
7.1.3 為免除當事人之生命、身體、自由或財產上之危險。
7.1.4 為防止他人權益之重大危害。
7.1.5 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過 提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
7.1.6 經當事人同意。
7.1.7 有利於當事人權益。
8.個人資料之保護:
8.1 成立『弘光科技大學個人資料保護與管理執行小組』,明確定義相關人員之責任與義務。
8.2 建立與實施個人資料管理制度(PIMS),以確認本政策之實行;全體員工及委外廠商 應遵循個人資料管理制度(PIMS)之規範與要求,並定期審查PIMS之運作。
8.3 個人資料處理行為,應釐定使用範圍及調閱或存取權限。
8.4 依相關法令規定辦理個人資料之範圍維護及更新事項。
8.5 個人資料檔案儲存於個人電腦者,應於該電腦設置可辨識身分之登入通行碼,強化個人 資料檔案資訊系統之存取安全,防止非法授權存取,並視業務及重要性,考量其他輔助安全措施。
8.6 各單位如遇有個人資料檔案發生遭人惡意破壞、毀損或作業不慎等安全事件,應進行緊 急因應措施。
8.7 本校員工均應簽訂保密切結書,使其充分瞭解個人資料保護之重要性及洩露個資之法律 責任。倘有洩露個資之情事者,將依法追究其民事、刑事及行政責任。
8.8 委外廠商或合作廠商與業務合作時,均應簽訂保密切結書,使其充分瞭解個人資料保護 之重要性及洩露個資之法律責任。倘有違反保密義務之情事者,將依法追究其民事及刑事責任。
9.利害關係人之參與及期許:
9.1 『弘光科技大學個人資料保護與管理執行小組』每年至少舉行一次管理審查會議,確保 個人資料管理制度之有效性。
9.2 組織應決定可能影響個人資料安全管理系統之外部與內部議題,及辨識其利害相關者 與對個人資料安全相關之要求事項(可包含法令、法規要求與契約義務),並將結果彙 整填入「利害相關者與議題一覽表」。
9.3 所確認之外部與內部議題及要求事項,可作為決定個人資料安全管理系統範圍之考量。
9.4 所辨識出之利害相關者,其執行的資訊系統與人員,作為判定是否納入個人資料管理 系統範圍之依據。
9.5 蒐集相關議題時,可適切利用問卷、訪談、會議、滿意度調查表等形式或工具進行取得。
10.個人資料保護政策之修正權:
10.1本政策經『弘光科技大學個人資料保護與管理執行小組』召集人審核後公告實施,修訂時亦同。
10.2本政策應至少每年評估一次,以符合時勢變遷或法令修正等事由,確保本校個人資料保護之有效性。