個資管理制度 - 102輔仁大學個資導入文件下載區

Report
中華數位科技 / 益思科技法律事務所
企資保護研究小組 個資專案顧問
專案團隊介紹
中華數位科技
&
益思科技法律事務所
法律
專業分析
參考並落實
系統最佳化
資安
系統整合
個人資
料保護
法
最佳實務
ISO
管理制度
©中華數位科版權所有,保留一切權利。
專案目標
符合
個資法規範
建置
作業SOP
教育訓練&
業務須知
©中華數位科版權所有,保留一切權利。
遵照:個資法施行細則
Plan
1. 配置管理之人員及相當資源
2. 界定個人資料之範圍
3. 個人資料之風險評估及管理機制
4. 事故之預防、通報及應變機制
5. 個人資料蒐集、處理及利用之內部管理程序
Do
6. 資料安全管理及人員管理
7. 認知宣導及教育訓練
8. 設備安全管理
安全
防護
Action
11.個人資料安全維護之整體持續改善
符合 ISO 管理制度
相關作業規範書符合國際標準
未來可能結合現有 ISO27001
Check
9.資料安全稽核機制
10.使用紀錄、軌跡資料及證據保存
©中華數位科版權所有,保留一切權利。
執行參考依據:教育部辦理研討會
©中華數位科版權所有,保留一切權利。
執行參考依據:主管機關
個資管理自我檢視表
©中華數位科版權所有,保留一切權利。
執行參考依據:主管機關
©中華數位科版權所有,保留一切權利。
整體執行架構 (P-D-C-A)
P
D
訪談作業
•
•
個資盤點表
業務分析作業
D
作業規範
•
•
C
安全防護
業務規範書
相關表單設計
•
•
資安風險評估
系統管理檢視
管理落實
•
•
教育訓練活動
公告與施行
A
©中華數位科版權所有,保留一切權利。
今天作業目標


依據
 個資法主管機關要求
 教育部個資研討會建議
 專案需求書
辦理事項:管理制度草案(預告)
 個資管理制度
 個資業務SOP(作業程序)
 個資業務辦理須知
©中華數位科版權所有,保留一切權利。
後續的專案流程:制訂『個資業務』規範書



各單位審閱(承辦人)
 提供業務規劃提案
 參考並提出意見
個資管理委員會審閱(長官)
 核定個資業務管理程序
 核定『個資管理制度』
 核定後續風險強化做為
時程規劃
 業務單位審閱:6月份
 個資管理委員會審閱:7月份
 個資管理制度上線:8月份
©中華數位科版權所有,保留一切權利。
個資管理制度介紹(草案)
1. 個資管理組織
個資管理組織簡介
管理委員會角色說明
個資管理委員會
(一) 個資安全政策、目標之研議、協調與推動事項。
(二) 個資安全風險評鑑與風險管理研議與審查事項。
(三) 個資安全稽核結果審查與改善情形追蹤事項。
(四) 個資安全管理文件審查、修訂及發佈等事項。
(五) 個資安全觀念推廣與宣導事項。
(六) 個資安全責任之分配及協調。
(七) 其他資訊安全事項之核定。
©中華數位科版權所有,保留一切權利。
個資管理組織簡介
執行分組角色說明(各單位代表、系秘
執行分組
書)
(一)政策研擬與提案
(二)辦理推廣訓練
(三)協助各項個資業務管理之落實
(1) 協助管理代表(召集人)推行個資管理。
(2) 依相關法令辦理安全維護及保管事項。
(3) 傳達管理代表(召集人)之決策,以貫徹個資管理。
(4) 協調各組使組織相關個人資料保護之運作更落實。
(5) 彙集、轉陳各組之意見、資料,供管理代表(召集人)作最佳
決策。
(6) 協助追蹤、管理個人資料保護稽核所提相關建議事項。
(7) 定期蒐集、分析及陳報個資相關通報及執行狀況之報告。
(四)設置窗口,執行以下通報作業
(1) 企業間個人資料保護業務之協調聯繫及主管機關緊急應變通報。
(2) 非資訊面個人資料安全事件之通報。
(3) 重大個人資料外洩事件之民眾聯繫單一窗口。
©中華數位科版權所有,保留一切權利。
個資管理組織簡介
稽核分組角色說明(需由『個資管理委員會』指定)
稽核分組
(一) 研提年度個人資料與隱私保護管理稽核計畫。
(二) 配合年度稽核計畫執行相關稽核活動並提供改善建議
事項予管理委員會。
(三) 對外查核業務之規劃與執行作業。
(四) 配合主管機關的行政檢查作業。
©中華數位科版權所有,保留一切權利。
個資管理制度介紹(草案)
2. 個資管理規章
管理制度介紹



制度參考依據
 國際ISO標準
 英國BSI 個資管理制度
管理制度(文件)管理方式
 一階文件:個人資料保護管理手冊
 二階文件:管理程序書
 三階文件:SOP、說明書、執行須知
 四階文件: 各式表單
後續發展
 結合輔仁大學ISO27001制度
 定期召開『個資管理審查委員會』
 目前規劃:資訊單位為 PM 窗口
©中華數位科版權所有,保留一切權利。
一階文件:個人資料保護管理手冊

規範架構
 組織與分工
 個資管理原則
(個資法的作業原則規範)
 個資作業原則
(告知、蒐集、處理、利用、)
 當事人權益請求原則
 個資保護安全原則
(IT 系統 & 作業程序)
 事件應變作業原則
 稽核與預防作業原則
©中華數位科版權所有,保留一切權利。
二階文件:各式管理程序書

程序書包括
 個人資料管理審查機制
(主管會議運作方式)
 個資盤點與風險評估作業
 個資蒐集、處理、利用程序書
 個資告知程序書
 個資文件管理程序書
 個資業務稽核程序
©中華數位科版權所有,保留一切權利。
四階文件:各式表單

表單包括
 保密切結書
 個人資料當事人權益申請書
 個人資料告知事項暨同意書(範本)
 個資查詢或調閱申請單
 個資處理權限審核單
 矯正與預防處理
 紀錄彙整封面(範本)
 紀錄銷燬一覽表
©中華數位科版權所有,保留一切權利。
個資管理制度
– 業務、行政單位審閱
今天座談會聚焦
盤點作業
蒐集、處理
、利用程序
各式表單
運用
©中華數位科版權所有,保留一切權利。
盤點作業



個資資料檔案名稱:(自定名稱) 
業務(個資保有)依據
 法律規定
 主管機關函示辦理
 內部管理規範
 特定業務目的
 當事人書面同意
業務目的
 學校教學目的
(預警通知,學生異常通知)
 學生內部管理
(輔導)
 組織內部管理
(人事、會計、訓練、行政)
 舉辦學術研討活動
個資類別
 C001 識別個人者
(基本個人資料:如姓名、地址、通
訊電話、相片)
 C002 識別財務者
 C003 :政府資料中之識別者
(身份字號、統一編號、保險憑證、
護照號碼)
 C021 家庭情形
 C051 學校記錄
 C061 受雇情形
 C057 學生記錄
 C088 保險細節
 C111 健康記錄
©中華數位科版權所有,保留一切權利。
盤點作業


個資利用期間
 永久
 活動辦理期間
 指定:3,6,12個月
個資利用地區
 中華民國
 國外利用


個資蒐集方式
 告知(符合學校辦學目的)
 同意(目的外、特殊活動)
個資處理、利用方式
 公告(成績單、榜單、會員名單)
 輸出外部單位名稱
(主管機關、基金會、其他學校)
 提供查詢及利用
(家長、校友、系所、)
©中華數位科版權所有,保留一切權利。
個資業務盤點表:
所需欄位建議如下














個資資料檔案名稱:(自定名稱)
資訊系統名稱
業務(個資保有)依據
業務目的
個資類別
個資利用期間
個資利用地區
個資蒐集方式
個資處理、利用方式
承辦人、管理人
資料類型(電子、紙本)
蒐集特種個資情形(如犯罪紀錄、醫療資訊)
保存方式、地點
個資數量
©中華數位科版權所有,保留一切權利。
個資業務申請單
申請單位
申請人
個人資料
檔案名稱
個人資料類別
業務依據
特定目的
個資利用期間、
方式、地區
批示意見
簽核
©中華數位科版權所有,保留一切權利。
告知(同意)書範本
©中華數位科版權所有,保留一切權利。
『當事人』(師生、員工)
個資權益申請書
©中華數位科版權所有,保留一切權利。
『內部單位』調閱單
©中華數位科版權所有,保留一切權利。
『個資輸出』保密書
©中華數位科版權所有,保留一切權利。
各單位訪談後
– 建議執行方案討論
『學生資料卡』議題討論
個資蒐集欄位的必要性檢視
敏感個資欄位的
業務使用方式
敏感個資蒐集有無必要性
©中華數位科版權所有,保留一切權利。
『學生學籍資料表』參考
©中華數位科版權所有,保留一切權利。
『個人家庭基本資料表』參考
©中華數位科版權所有,保留一切權利。
『學生基本資料表2 』參考(1/2)
©中華數位科版權所有,保留一切權利。
『學生基本資料表2 』參考(2/2)
©中華數位科版權所有,保留一切權利。
『學生資料卡』議題討論
(業務調整方式:由『個資委員會』確定)
個資調閱單
建議
執行方式
業務
調整
『學生學籍資料表』為一般學生聯繫必要資訊
『個人家庭基本資料表』個資內容較為敏感
『學生基本資料表2』個資內容較為敏感
『學生學籍資料表』參考無須填單
『個人家庭基本資料表』需填單調閱
『學生基本資料表2』需填單調閱
非使用敏感個資:建議刪除
各單位業務所需資訊:確認管理單位
©中華數位科版權所有,保留一切權利。
成年學生(20)的個資權益申請:
停止『家長』的個資利用(查成績)行為
『未成年』(未滿20歲)申請需家長同意
『成年』(滿20歲)當事人(學生)可直接申請
一般基本資料的更正,
無需填表單
可能的申請權益:(家長)
成績查詢、到課、學習通知
主要表單:個資權益申請書
©中華數位科版權所有,保留一切權利。
成年學生(20)的個資權益申請:
(由『個資委員會』選定方案後落實)
方案一(冷處理)
1. 不提供正式表單
2. 教育訓練時淡化此項議題
3. 每次均個案處理
1.
2.
3.
4.
方案二(積極處理)
通知『家長』因應個資法提供『學生權益申請』
結合『學費註冊單』,需一併繳回『同意書』
每次開學時,接受申請[限定期間]
[限定期間]外,申請個案處理
©中華數位科版權所有,保留一切權利。
『停止利用』的學生個資權益申請
1. 各系所所舉辦的各類活動(餐會、系所聯誼會、)
2. 畢業生的各項聯繫行為(輔大校友會、募款活動、傑出校友聯繫)
3. 校內各項通知(工作機會、實習活動、其他[如高中]校友會)
各項執行原則:
必須與學生服務有關
聯繫方式:
以『匿名通知』方式進行
使用表單:個資權益申請書
©中華數位科版權所有,保留一切權利。
停止利用的學生個資權益申請:
(由『個資委員會』核定後落實)
1.
2.
3.
4.
『在學期間』管理原則
辦理目的:強化團體意識,增進師生情感
原則『不提供』此項個資停止利用的申請
均個案處理,並評估『是否侵害學生隱私權』
個案處理後,調整業務辦理方式
1.
2.
3.
4.
『畢業生』管理原則
辦理目的:強化校友凝結,增進輔大團體力量
原則『提供』此項個資停止利用的申請
活動均需由主辦單位,提供『停止利用』方式
接受申請後,類似活動對特定人應停止
©中華數位科版權所有,保留一切權利。
提供:個資安全保護的聲明
『會議』活動通知書、簽到表
『通訊錄』的個資使用聲明
『畢業紀念冊』安全使用聲明
『網路』平台安全使用聲明
『敏感個資業務』流程管理
『個資簽收』表單(演講、禮品)
©中華數位科版權所有,保留一切權利。
其他個案問題:將獨立處理
『原民會』業務適法性問題
『職涯輔導系統』業務適法性問題
推廣部的會員管理議題
©中華數位科版權所有,保留一切權利。
後續專案活動說明
– 請各單位配合辦理
後續的專案流程




請持續辦理『個資盤點作業』
管理制度核定
 預計:7月份核定
後續公告
 預計:8月份公告各類表單
教育訓練
 預計8月辦理
©中華數位科版權所有,保留一切權利。
後續的專案流程



各單位審閱(承辦人)
 提供業務規劃提案
 參考並提出意見
個資管理委員會審閱(長官)
 核定個資業務管理程序
 核定『個資管理制度』
 核定後續風險強化做為
時程規劃
 業務單位審閱:6月份
 個資管理委員會審閱:7月份
 個資管理制度上線:8月份
©中華數位科版權所有,保留一切權利。
問題與解答
機密性與智財權宣告:本簡報僅本研討會使用,
非經中華數位同意,請勿上網傳佈或揭露予與
本活動無關之第三人。
©中華數位科版權所有,保留一切權利。

similar documents