私立专科以上学校及私立学术研究机构个人资料档案安全维护实施办法.PDF

私立專科以上學校及私立學術研究機構個人資料檔案安全維護實施辦法 第一條 本辦法依個人資料保護法（以下簡稱本法）第二十七條第三項規定訂定之。 第二條 本辦法之主管機關為教育部。 第三條 依私立學校法核准設立之私立專科以 上學校（以下簡稱學校）及依學術研究機構設 立辦法核准設立之私立學術研究機構（以下簡稱機構）應訂定個人資料檔案安全維 護計畫（以下簡稱安全維護計畫） ，落實個人資料檔案之安全維護及管理，防止個人 資料被竊取、竄改、毀損、滅失或洩漏。 前項計畫，應包括業務終止後個人資料處理方法等相關個人資料管理事項。 第四條 本辦法用詞，定義如下： 一、個人資料管理人：學校、機構應由校長、機構負責人擔任或指定，負責督導安 全維護計畫訂定及執行之人員（以下簡稱管理人）。 二、個人資料稽核人員：學校、機構應由校長、機構負責人指定，負責評核安全維 護計畫執行情形及成效之人員（以下簡稱稽核人員） 。 三、所屬人員：執行業務之過程必須接觸個人資料之人員 ，包括學校、機構之定期 或不定期契約人員及派遣員工。 前項第一款管理人員與第二款稽核人員不得為同一人。 第五條 學校、機構得指定或設管理單位，或指定專人，負責個人資料檔案安全維護；其任 務如下： 一、訂定及執行安全維護計畫，包括業務終止後個人資料處理方法。 二、定期就個人資料檔案安全維護管理情形，向管理人提出書面報告。 三、依據稽核人員就計畫執行之評核，於進行檢討改進後 ，向管理人及稽核人員提 出書面報告。 第六條 學校、機構應確認蒐集個人資料之特定目的，依特定目的之必要性，界定所蒐集、 處理及利用個人資料之類別或範圍，並定期清查所保有之個人資料現況。 學校、機構經定期檢視，發現有非屬特定目的必要範圍內之個人資料或特定目的消 1 失、期限屆滿而無保存必要者，應予刪除、銷毀或其他停止蒐集、處理或利用等適 當之處置。 第七條 學校、機構應依已界定個人資料之範圍與蒐集、處理及利用流程，分析評估可能產 生之風險，訂定適當之管控措施。 第八條 學校、機構應訂定應變機制，在發生個人資料被竊取、洩露、竄改或其他侵害事故 時，迅速處理以保護當事人之權益。 前項應變機制，應包括下列事項： 一、採取適當之措施，控制事故對當事人造成之損害。 二、查明事故發生原因及損害狀況，並以適當方式通知當事人。 三、研議改進措施，避免事故再度發生。 第九條 學校、機構委託他人蒐集、處理或利用個人資料之全部或一部時，應依本法施行細 則第八條規定對受託者為適當之監督，並明確約定相關監督事項及方式。 第十條 學校、機構利用個人資料為宣傳、推廣或行銷時，應明確告知當事人其所屬學校、 機構立案名稱及個人資料來源。 學校、機構於首次利用個人資料為宣傳、推廣或行銷時，應提供當事人表示拒絕接 受宣傳、推廣或行銷之方式，並支付所需費用；當事人表 示拒絕宣傳、推廣或行銷 後，應立即停止利用其個人資料宣傳、推廣或行銷，並周知所屬人員。 第十一條 學校、機構於當事人行使本法第三條規定之權利時，得採取下列方式辦理： 一、提供聯絡窗口及聯絡方式。 二、確認是否為資料當事人之本人，或經其委託。 三、有本法第十條但書、第十一條第二項但書或第三項但書得拒絕當事人行使權 利之事由，一併附理由通知當事人。 四、告知是否酌收必要成本費用及其收費基準，並遵守本法第十三條處理期限規 定。 第十二條 學校、機構對所保有之個人資料檔案，應設置必要之安全設備及採取必要之防護 2 措施。