個人資料保護管理
1. 流程圖: 個人資料保護管理作業流程圖
2. 作業程序:
2.1 組織任務
2.1.1 個人資料保護政策之訂定。
2.1.2 個人資料管理制度之推展。
2.1.3 個人資料隱私風險之評估及管理。
2.1.4 個人資料保護意識提升及教育訓練計畫之規劃。
2.1.5 個人資料管理制度基礎設施之評估。
2.1.6 個人資料管理制度適法性與合宜性之檢視、審議及評估。
2.1.7 其他個人資料保護、管理之規劃及執行事項。
2.2 權責
本校設個人資料管理委員會(以下簡稱個資管理委員會),下設個資安全執行分組(以下簡稱執行分組)及個資安全稽核分組(以下簡稱稽核分組),職責如下:
2.2.1 個資管理委員會
2.2.1.1 個資安全政策、目標之研議、協調與推動事項。
2.2.1.2 個資安全風險評鑑與風險管理研議與審查事項。
2.2.1.3 個資安全稽核結果審查與改善情形追蹤事項。
2.2.1.4 個資安全管理文件審查、修訂及發佈等事項。
2.2.1.5 個資安全觀念推廣與宣導事項。
2.2.1.6 個資安全責任之分配及協調。
2.2.1.7 其他資訊安全事項之核定。
2.2.2 執行分組
2.2.2.1 政策研擬與提案。
2.2.2.2 辦理推廣訓練。
2.2.2.3 協助各項個資業務管理之落實。
2.2.2.4 協助管理代表(召集人)推行個資管理。
2.2.2.5 依相關法令辦理安全維護及保管事項。
2.2.2.6 傳達管理代表(召集人)之決策,以貫徹個資管理。
2.2.2.7 協調各組,使組織相關個人資料保護之運作更落實。
2.2.2.8 彙集、轉陳各組之意見、資料,供管理代表(召集人)作 最佳決策。
2.2.2.9 協助追蹤、管理個人資料保護稽核所提相關建議事項。
2.2.2.10 定期蒐集、分析及陳報個資相關通報及執行狀況之報告。
2.2.3 稽核分組
2.2.3.1 研提年度個人資料與隱私保護管理稽核計畫。
2.2.3.2 配合年度稽核計畫執行相關稽核活動並提供改善建議事 項予個資管理委員會。
2.2.3.3 對外查核業務之規劃與執行作業。
2.2.3.4 配合主管機關的行政檢查作業。
3. 控制重點:
3.1. 是否依規定指定管理單位或人員之任務。
3.2. 是否界定所保有個人資料之類別及範圍,定期清查資料現況,並就非屬特定目的必要範圍或無保存必要之資料為適當之處置。
3.3. 是否定期分析評估可能產生之風險,訂定適當管控措施建立個人資料侵害事故發生之應變機制。
3.4. 對於委託他人蒐集、處理或利用個人資料時,是否對受託者進行適當之監督。
3.5. 利用個人資料為宣傳、推廣或行銷時,應明確告知當事人之事項;於首次利用個人資料時,應提供當事人表示拒絕之權利。
3.6. 是否對所保有個人資料檔案應有之必要安全設備及防護措施。
3.7. 是否對其所屬人員應採取之人員管理措施,確保個人資料安全。
3.8. 是否對其所屬人員提供個人資料保護教育宣導。
3.9. 業務終止後,是否對所保有個人資料之處理方式及留有紀錄進行管理。
3.10. 是否訂定個人資料檔案安全稽核機制及檢查安全維護計畫執行情形。
3.11. 是否對於個人資料於蒐集、處理及利用過程之相關紀錄,及所需保存紀錄之類別進行保存。
4. 使用表單:
4.1. PIMS-D-001個人資料當事人權利行使申請書
4.2. PIMS-D-002保密同意書
4.3. PIMS-D-003個資業務申請(異動)單
4.4. PIMS-D-004個資處理權限審核單
4.5. PIMS-D-005個資查詢或調閱申請單
4.6. PIMS-D-006個人資料告知事項暨同意書(範本)
4.7. PIMS-D-007個資安全檢查表
4.8. PIMS-D-008矯正與預防處理單
4.9. PIMS-D-009紀錄銷燬一覽表
4.10. PIMS-D-010紀錄彙整封面(範本)
4.11. PIMS-D-011 個人資料簽收紀錄單
4.12. PIMS-D-012個資安全事件通報單
5. 依據及相關文件:
5.1. 輔仁大學個人資料保護管理制度。
5.2. 教育部定私立專科以上學校及私立學術研究機構個人資料檔案安全維護實施辦法。
5.3. 法務部頒佈個人資料保護法。