本办法依个人资料保护法(以下简称本法)第二十七条第三项规定订定之。
本办法所称主管机关:在中央为教育部;在直辖市为直辖市政府;在县(市)为县(市)政府。
本办法用词,定义如下:
- 一、专责人员:指由私立儿童课后照顾服务中心(以下简称课照中心)负责人担任或指定,负责督导个人资料档案安全维护计划(以下简称安全维护计划)订定及执行人员。
- 二、查核人员:指由课照中心负责人指定,负责评核安全维护计划执行情形及成效之人员。
- 三、所属人员:指课照中心执行业务之过程,必须接触个人资料之人员,包括定期或不定期契约人员及派遗员工。
前项第一款专责人员与第二款查核人员,不得为同一人。
课照中心应依本办法规定,订定安全维护计划,落实个人资料档案之安全维护及管理,防止个人资料被窃取、窜改、毁损、灭失或泄漏。
课照中心订定安全维护计划时,应视其规模、特性、保有个人资料之性质、数量及其他相关事项,订定适当之安全维护措施。
前项计划,应包括业务终止后,个人资料处理方法及其他相关个人资料管理事项。
课照中心应于本办法发布施行后六个月内,完成安全维护计划之订定。
课照中心应将订定之安全维护计划留中心备查;直辖市、县(市)主管机关得派员检查。
课照中心应指定专责人员,负责规划、订定、修正、执行安全维护计划及业务终止后个人资料处理方法及其他相关事项,并定期向负责人提出报告。
课照中心应确认搜集个人资料之特定目的,依特定目的之必要性,界定所搜集、处理及利用个人资料之类别或范围,并定期清查所保有之个人资料现况。
课照中心经定期检视,发现有非属特定目的必要范围内之个人资料或特定目的消失、期限届满而无保存必要者,应予删除、销毁或其他停止搜集、处理、利用或其他适当之处置。
课照中心于搜集个人资料时,应检视是否符合前条第一项所定之类别及范围。
课照中心于传输个人资料时,应采取必要保护措施,避免泄漏。
课照中心应依已界定个人资料之范围与搜集、处理及利用流程,分析评估可能发生之风险,订定适当之管控措施。
课照中心于搜集个人资料时,应遵守本法第八条及第九条有关告知义务之规定,并区分个人资料属直接搜集或间接搜集,分别订定告知方式、内容及注意事项,要求所属人员确实办理。
课照中心依本法第二十条第一项规定利用个人资料为宣传、推广或行销时,应明确告知当事人课照中心立案名称及个人资料来源。
课照中心于首次利用个人资料为宣传、推广或行销时,应提供当事人或其法定代理人表示拒绝接受宣传、推广或行销之方式,并支付所需费用;当事人或其法定代理人表示拒绝接受宣传、推广或行销者,应立即停止利用其个人资料宣传、推广或行销,并周知所属人员。
课照中心委托他人搜集、处理或利用个人资料之全部或一部时,应依本法施行细则第八条规定,对受托者为适当之监督,并明确约定相关监督事项及方式。
课照中心于当事人或其法定代理人行使本法第三条规定之权利时,得采取下列方式办理:
- 一、提供联络窗口及联络方式。
- 二、确认是否为资料当事人之本人或其法定代理人,或经其委托。
- 三、有本法第十条但书、第十一条第二项但书或第三项但书得拒绝当事人或其法定代理人行使权利之事由,一并附理由通知当事人或其法定代理人。
- 四、告知是否酌收必要成本费用及其收费基准,并遵守本法第十三条处理期限规定。
课照中心应订定应变机制,在发生个人资料被窃取、泄漏、窜改或其他侵害事故时,迅速处理,以保护当事人之权益。
前项应变机制,应包括下列事项:
- 一、采取适当之措施,控制事故对当事人造成之损害。
- 二、查明事故发生原因及损害状况,以适当方式通知当事人或其法定代理人,并通报其直辖市、县(市)主管机关。
- 三、研议改进措施,避免事故再度发生。
前项第二款通报作业及文件书表格式,由直辖市、县(市)主管机关定之。
课照中心应自第一项事件发生之日起三日内,通报主管机关;并自处理结束之日起一个月内,将处理方式及结果,报主管机关备查。
课照中心对所保有之个人资料档案,应设置必要之安全设备及采取必要之防护措施。
前项安全设备或防护措施,应包括下列事项:
- 一、纸本资料档案之安全保护设施及管理程序。
- 二、电子资料档案存放之电脑或自动化机器相关设备,配置安全防护系统或加密机制。
- 三、订定纸本资料之销毁程序;电脑、自动化机器或其他储存媒介物需报废汰换或转作其他用途时,应采取适当防范措施,避免泄漏个人资料。
课照中心为确实保护个人资料之安全,应对其所属人员采取下列措施:
- 一、依据业务作业需要,建立管理机制,设定所属人员不同之权限,以控管其接触个人资料之情形,并定期确认权限内容之适当性及必要性。
- 二、检视各相关业务之性质,规范个人资料搜集、处理、利用及其他相关流程之负责人员。
- 三、要求所属人员妥善保管个人资料之储存媒介物,并约定保管及保密义务。
- 四、所属人员离职时取消其识别码,并应要求将执行业务所持有之个人资料(包括纸本及储存媒介物)办理交接,不得携离使用,并应签订保密切结书。
课照中心应订定个人资料档案安全维护查核机制,定期或不定期检查安全维护计划之执行情形,并将检查结果,向负责人提出报告。
课照中心应采行适当措施,留存个人资料使用纪录、自动化机器设备之轨迹资料或其他相关之证据资料,以供必要时说明其所定安全维护计划之执行情况。
课照中心对于个人资料搜集、处理及利用,应符合本法第十九条及第二十条规定,并应定期或不定期对其所属人员施以教育训练或认知宣导,使其明了个人资料保护相关法令规定、责任范围、作业程序及应遵守之相关措施。
课照中心业务终止后,其保有之个人资料之处理方式及留存纪录如下:
- 一、销毁:销毁之方法、时间、地点及证明销毁之方式。
- 二、移转:移转之原因、对象、方法、时间、地点及受移转对象得保有该项个人资料之合法依据。
- 三、其他删除、停止处理或利用个人资料:删除、停止处理或利用之方法、时间或地点。
前项纪录应至少留存五年。
课照中心应参酌安全维护计划执行状况、技术发展、法令依据修正等因素,检视所定安全维护计划是否合宜,必要时应予以修正。
本办法自发布日施行。
蕴藏许多助人的知识与智慧。