[公告]弘光科技大学个人资料管理安全政策 - 弘光科技大学
跳到主要内容区块

SEARCH

弘光科技大学
:::
图资处系统组

[公告]弘光科技大学个人资料管理安全政策

公告日期:2020年08月31日张贴人:图书资讯处

1.目的:

  弘光科技大学(以下简称本校)为落实个人资料之保护及管理并符合【个人资料保护法】之要求,特订定个人资料管理安全政策(以下简称本政策),以为遵循。

2.适用范围:

  本校各单位。

3.政策目标:

  3.1提升个人资料保护管理能力,创造可信赖个资保护及隐私环境。

3.2保护业务相关个人资料安全,免于因外在威胁或内部不当管理使用,致遭受窃取、窜改、毁损、灭失、或泄漏等风险。

  3.3个人资料流程定期风险评估,鉴别本校可接受的风险等级。

  3.4依据【个人资料保护法】、【个人资料保护法施行细则】与【BS 10012:2017】要求,保护个人资料蒐集、处理、利用、储存、传输、销毁之过程。

  3.5强化个人资料保护安全意识,定期办理个人资料保护教育训练。

4.个人资料之蒐集与处理:

  4.1因营运所需取得或蒐集之包括但不限于个人之姓名、出生年月日、国民身分证统一编号(护照号码)、特征、指纹、婚姻、家庭、教育、职业等个人资料,应遵循我国【个人资料保护法】(以下简称个资法)等法令,不过度且符合特定目的、相关且适当并公平与合法地从事个人资料之蒐集与处理。各权责单位主管负责所属单位业务范围之风险评估结果审核作业。

5.个人资料之利用及国际传输:

  5.1于利用个人资料时,除需依特定目的必要范围内之外,如需为特定目的以外之利用时,将依据个资法第二十条之规定办理;倘有需取得用户之书面同意之必要者,应依法取得用户之书面同意。

  5.2所蒐集、处理之个人资料,应遵循我国个资法及【BS 10012:2017】之规范,且个人资料之使用为营运或业务所需,方可为承办同仁利用。

  5.3取得之个人资料,如有进行国际传输之必要者,将依据个资法第二十一条之规定办理;定谨遵不违反国家重大利益、不以迂回方法向第三国传递或利用个人资料规避个资法之规定等原则办理,又,倘国际条约或协定有特别规定、或资料接受国对于个人资料之保护未有完善之法令致有损害当事人权益之虞者,将不进行国际传输,以维护个人资料之安全。

6.个人资料之调阅与异动:

  6.1当接获个人资料调阅或异动之需求时,将依据个资法第三条之规定办理;于合法范围内进行当事人之个人资料查询或请求阅览、请求制给复制本、请求补充或更正、请求停止蒐集、处理、利用、请求删除。

7.个人资料之例外应用:

  7.1对个人资料之利用,除个资法第六条第一项所规定资料外,应于蒐集之特定目的必要范围内为之。但有下列情形之一者,将依据个资法第二十条之规定办理;得为特定目的外之利用:。

   7.1.1法律明文规定。

   7.1.2为增进公共利益所必要。

   7.1.3为免除当事人之生命、身体、自由或财产上之危险。

   7.1.4为防止他人权益之重大危害。

   7.1.5公务机关或学术研究机构基于公共利益为统计或学术研究而有必要,且资料经过提供者处理后或经蒐集者依其揭露方式无从识别特定之当事人。

   7.1.6经当事人同意。

   7.1.7有利于当事人权益。

8.个人资料之保护:

  8.1成立『弘光科技大学个人资料保护与管理执行小组』,明确定义相关人员之责任与义务。

  8.2建立与实施个人资料管理制度(PIMS),以确认本政策之实行;全体员工及委外厂商应遵循个人资料管理制度(PIMS)之规范与要求,并定期审查PIMS之运作。

  8.3个人资料处理行为,应厘定使用范围及调阅或存取权限。

  8.4依相关法令规定办理个人资料之范围维护及更新事项。

  8.5个人资料档案储存于个人电脑者,应于该电脑设置可辨识身分之登入通行码,强化个人资料档案资讯系统之存取安全,防止非法授权存取,并视业务及重要性,考量其他辅助安全措施。

  8.6各单位如遇有个人资料档案发生遭人恶意破坏、毁损或作业不慎等安全事件,应进行紧急因应措施。

  8.7本校员工均应签订保密切结书,使其充分了解个人资料保护之重要性及泄露个资之法律责任。倘有泄露个资之情事者,将依法追究其民事、刑事及行政责任。

  8.8委外厂商或合作厂商与业务合作时,均应签订保密切结书,使其充分了解个人资料保护之重要性及泄露个资之法律责任。倘有违反保密义务之情事者,将依法追究其民事及刑事责任。

9.利害关系人之参与及期许:

  9.1『弘光科技大学个人资料保护与管理执行小组』每年至少举行一次管理审查会议,确保个人资料管理制度之有效性。

9.2组织应决定可能影响个人资料安全管理系统之外部与内部议题,及辨识其利害相关者与对个人资料安全相关之要求事项(可包含法令、法规要求与契约义务),并将结果汇整填入「利害相关者与议题一览表」。

9.3所确认之外部与内部议题及要求事项,可作为决定个人资料安全管理系统范围之考量。

9.4所辨识出之利害相关者,其执行的资讯系统与人员,作为判定是否纳入个人资料管理系统范围之依据。

9.5蒐集相关议题时,可适切利用问卷、访谈、会议、满意度调查表等形式或工具进行取得。

10.个人资料保护政策之修正权:

  10.1本政策经『弘光科技大学个人资料保护与管理执行小组』召集人审核后公告实施,修订时亦同。

  10.2本政策应至少每年评估一次,以符合时势变迁或法令修正等事由,确保本校个人资料保护之有效性。