1.目的:
弘光科技大學(以下簡稱本校)為落實個人資料之保護及管理並符合【個人資料保護法】之要求,特訂定個人資料管理安全政策(以下簡稱本政策),以為遵循。
2.適用範圍:
本校各單位。
3.政策目標:
3.1提升個人資料保護管理能力,創造可信賴個資保護及隱私環境。
3.2保護業務相關個人資料安全,免於因外在威脅或內部不當管理使用,致遭受竊取、竄改、毀損、滅失、或洩漏等風險。
3.3個人資料流程定期風險評估,鑑別本校可接受的風險等級。
3.4依據【個人資料保護法】、【個人資料保護法施行細則】與【BS 10012:2017】要求,保護個人資料蒐集、處理、利用、儲存、傳輸、銷毀之過程。
3.5強化個人資料保護安全意識,定期辦理個人資料保護教育訓練。
4.個人資料之蒐集與處理:
4.1因營運所需取得或蒐集之包括但不限於個人之姓名、出生年月日、國民身分證統一編號(護照號碼)、特徵、指紋、婚姻、家庭、教育、職業等個人資料,應遵循我國【個人資料保護法】(以下簡稱個資法)等法令,不過度且符合特定目的、相關且適當並公平與合法地從事個人資料之蒐集與處理。各權責單位主管負責所屬單位業務範圍之風險評估結果審核作業。
5.個人資料之利用及國際傳輸:
5.1於利用個人資料時,除需依特定目的必要範圍內之外,如需為特定目的以外之利用時,將依據個資法第二十條之規定辦理;倘有需取得用戶之書面同意之必要者,應依法取得用戶之書面同意。
5.2所蒐集、處理之個人資料,應遵循我國個資法及【BS 10012:2017】之規範,且個人資料之使用為營運或業務所需,方可為承辦同仁利用。
5.3取得之個人資料,如有進行國際傳輸之必要者,將依據個資法第二十一條之規定辦理;定謹遵不違反國家重大利益、不以迂迴方法向第三國傳遞或利用個人資料規避個資法之規定等原則辦理,又,倘國際條約或協定有特別規定、或資料接受國對於個人資料之保護未有完善之法令致有損害當事人權益之虞者,將不進行國際傳輸,以維護個人資料之安全。
6.個人資料之調閱與異動:
6.1當接獲個人資料調閱或異動之需求時,將依據個資法第三條之規定辦理;於合法範圍內進行當事人之個人資料查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集、處理、利用、請求刪除。
7.個人資料之例外應用:
7.1對個人資料之利用,除個資法第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,將依據個資法第二十條之規定辦理;得為特定目的外之利用:。
7.1.1法律明文規定。
7.1.2為增進公共利益所必要。
7.1.3為免除當事人之生命、身體、自由或財產上之危險。
7.1.4為防止他人權益之重大危害。
7.1.5公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
7.1.6經當事人同意。
7.1.7有利於當事人權益。
8.個人資料之保護:
8.1成立『弘光科技大學個人資料保護與管理執行小組』,明確定義相關人員之責任與義務。
8.2建立與實施個人資料管理制度(PIMS),以確認本政策之實行;全體員工及委外廠商應遵循個人資料管理制度(PIMS)之規範與要求,並定期審查PIMS之運作。
8.3個人資料處理行為,應釐定使用範圍及調閱或存取權限。
8.4依相關法令規定辦理個人資料之範圍維護及更新事項。
8.5個人資料檔案儲存於個人電腦者,應於該電腦設置可辨識身分之登入通行碼,強化個人資料檔案資訊系統之存取安全,防止非法授權存取,並視業務及重要性,考量其他輔助安全措施。
8.6各單位如遇有個人資料檔案發生遭人惡意破壞、毀損或作業不慎等安全事件,應進行緊急因應措施。
8.7本校員工均應簽訂保密切結書,使其充分瞭解個人資料保護之重要性及洩露個資之法律責任。倘有洩露個資之情事者,將依法追究其民事、刑事及行政責任。
8.8委外廠商或合作廠商與業務合作時,均應簽訂保密切結書,使其充分瞭解個人資料保護之重要性及洩露個資之法律責任。倘有違反保密義務之情事者,將依法追究其民事及刑事責任。
9.利害關係人之參與及期許:
9.1『弘光科技大學個人資料保護與管理執行小組』每年至少舉行一次管理審查會議,確保個人資料管理制度之有效性。
9.2組織應決定可能影響個人資料安全管理系統之外部與內部議題,及辨識其利害相關者與對個人資料安全相關之要求事項(可包含法令、法規要求與契約義務),並將結果彙整填入「利害相關者與議題一覽表」。
9.3所確認之外部與內部議題及要求事項,可作為決定個人資料安全管理系統範圍之考量。
9.4所辨識出之利害相關者,其執行的資訊系統與人員,作為判定是否納入個人資料管理系統範圍之依據。
9.5蒐集相關議題時,可適切利用問卷、訪談、會議、滿意度調查表等形式或工具進行取得。
10.個人資料保護政策之修正權:
10.1本政策經『弘光科技大學個人資料保護與管理執行小組』召集人審核後公告實施,修訂時亦同。
10.2本政策應至少每年評估一次,以符合時勢變遷或法令修正等事由,確保本校個人資料保護之有效性。