1 / 47

個資盤點教育訓練

個資盤點教育訓練. 報告人:李良知 102.7.1. 美 ﹣ 史諾登( S nowden) 洩 密事件. 揭露美國家安全局( NSA )監控計畫。 叛國者 ? 英雄 ?. 本校個人資料保護推動工作進度. 推動工作小組 ( 101 . 11 . 9 ). 執行小組(秘書室). 盤點組 (李良知). 技術組 (黃琮逢). 制度組 (蔡振義). 教育組 (丁鈴玲). 成員:蔡振義、 黃芬蘭、陳美琪、許癸鎣、丁鈴玲. 教育訓練與宣導. 教育訓練 個資法網站專區 行政會議業務報告 個資保護推動工作案例. 大綱. 一、個資法對學校產生的衝擊.

kai-walsh
Download Presentation

個資盤點教育訓練

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 個資盤點教育訓練 報告人:李良知 102.7.1

  2. 美﹣史諾登(Snowden)洩密事件 • 揭露美國家安全局(NSA)監控計畫。 叛國者?英雄?

  3. 本校個人資料保護推動工作進度 推動工作小組(101.11.9) 執行小組(秘書室) 盤點組 (李良知) 技術組 (黃琮逢) 制度組(蔡振義) 教育組(丁鈴玲) 成員:蔡振義、 黃芬蘭、陳美琪、許癸鎣、丁鈴玲

  4. 教育訓練與宣導 • 教育訓練 • 個資法網站專區 • 行政會議業務報告 • 個資保護推動工作案例

  5. 大綱 一、個資法對學校產生的衝擊 二、個資法的基本概念 三、學校因應個資法的作為 四、如何進行個資盤點

  6. 個人資料保護法之立法目的(個資法第1條) 如何尋求保護個人隱私與個人資料 合理使用間之平衡。

  7. 個資法對學校產生最大的衝擊為何(1) 違反個資法的責任: • 程序法責任 非公務機關(私立學校)必須負責「舉證責任」,除能證明自己符合法規要求且已善盡保管責任,無故意或過失才能免責。

  8. 個資法對學校產生最大的衝擊(2) • 實體法責任: 行政處罰 刑事責任 最高5年以下有期徒刑併科100萬罰金 賠償金額每人每件500﹣20000元, 團體訴訟大量求償上限2億元(同一事件) 民事責任 • 非公務機關須證明無故意或過失 • 最高50萬元罰鍰(2萬~50萬)。 • 非公務機關代表人、管理人、代理權人並受 • 同一額度罰鍰(一併受罰)。

  9. 個資法實施後台灣現況預估 日本洩漏個資人數,在施行後第三年後快速下降 其個資洩漏主要原因:人為因素(管理不當與疏忽)

  10. 個人資料保護常見缺失 1、電腦內儲存之學生個人資料,未有適當之加密措施, 及未定期備份個人資料檔案。 2、學生紙本個資儲存場所之資料儲存櫥櫃, 未有適當 控管措施。 3、學生個人資料之調閱未留有相關調閱記錄。 4、處理個人資料相關人員未依規定簽訂保密切結書。 5、未控管委外廠商存取學生個人資料。

  11. 個資紀錄應保留多久? 請求權時效(個資法第30條規定): 當事人必須在事件發生5年內提出求償,或在知道侵害事件的2年內提出,逾期就失效。 建議 **個資檔案至少保留五年

  12. 大綱 一、個資法對學校產生的衝擊 二、個資法的基本概念 三、學校因應個資法的作為 四、如何進行個資盤點

  13. 什麼是個人資料? 個人資料是一種可以讓大家更加了解我的資訊 (有形的型體﹣外貌長相+無形的內容﹣精神、心靈、個性、嗜好) 張大仁,男性 Who 今年20歲 When 1.家中有爸爸、媽媽和妹妹 2.目前就讀未來大學 3.身高178公分,體重74公斤 What 電話:(07)727-7377 地址:高雄市XX區XX路XX號 How

  14. 什麼是個人資料? (個資法第2條定義) 原則不得蒐集、處理或利用 特種個資 一般個資 個人資料保護:即便未指名道姓,只要揭露,即足以識別為某一特定人之資料,即有本法之適用。 其他 手機號碼、住家電話、聯絡地址

  15. 個資法主要規範哪些行為 規範行為 處理 利用 蒐集 指蒐集個人資料後,將這些資料經過編輯、修改、增刪、傳送等動作,變成一份個資檔案的過程 將處理後的個人檔案,使用在特定目的上。 以任何方式取得現存自然人之資料(從無到有)

  16. 個人資料生命週期(三重點) 蒐集 依個人資料的生命週期為概念, 進行各環節的安全控管。 個人隱私權的保護 利用 處理

  17. 個資法最重要的兩個概念 一、合法的「蒐集」 二、在特定目的範圍內的「利用」(不得逾越)

  18. 檢視是否為合法的蒐集/處理行為 法定要件 特定目的 (182項) 法定情形 (第19條)

  19. 蒐集的法定要件 1、特定目的(共182項) 001 人身保險 063 非公務機關依法定義務所進行個人資料 之蒐集處理及利用 109 教育或訓練行政 158 學生(員)(含畢、結業生)資料管理 159 學術研究 .

  20. 蒐集的法定要件 2、法定情形(符合第19條非公務機關) • 法律明文規定 • 與當事人有契約或類契約之關係 • 經當事人書面同意 • 當事人自行公開或已合法公開 • 有關公共利益處於一般可得來源

  21. 檢視是否為合法的利用行為

  22. 特定目的外之利用﹣例外情形(第20條) 法律 明文規定 增進 公共利益 學術機構研究 且資料經處理 無從辨識 特定目的 外利用 免除當事人之生 命、身體、自由或財產上之危險 經當事人 書面同意 防止他人 權益之重大危害

  23. 例:個資法實施後,學校張貼榮譽榜,一律需隱匿學生姓名?例:個資法實施後,學校張貼榮譽榜,一律需隱匿學生姓名? • 學校為達成教育或訓練行政目的,而蒐集學生的個人資料,張貼有學生名字的榮譽榜,顯然是為了教育目的且有利於學生權益,符合個資法第十六條,並沒有違法問題。故無需過度遮掩,否則有違個資法第1條規定所稱「促進個人資料之合理利用」意旨。

  24. 大綱 一、個資法對學校產生的衝擊 二、個資法的基本概念 三、學校因應個資法的作為 四、如何進行個資盤點

  25. 為何要進行個資盤點 • 適法性:個資法施行後個資盤點便成為遵循該法的第一步亦是進行防範個資外洩風險的第一步。 • 善盡職責規定:依個資法第27條及施行細則第12條規定(共有11款),對個資應採取適當的安全維護措施。 施行細則第12條第2項第2款規定:界定個人資料之範圍(即個資清查→個資清冊)。

  26. 對於個資應採行適當之安全措施(第27條) • 非公務機關(學校) 為防止個人資料被竊取、竄改、毀損、滅失或洩漏,應採行 「適當安全維護措施」

  27. 依個資法第27條第二及第三項規定 • 中央目的事業主管機關得指定非公務機關訂定個人料檔案安全維護計畫…。 前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之 教育部已於6月公布 「私立學校及學術研機構個人資料檔案 安全維護實施辦法草案」目前正審議中

  28. 學校因應個資法的作為? • 第一階段:進行個資盤點(了解個人資料種類、 • 數量、保存與利用情形) • 第二階段:評估個資清單未來可能會 面臨的風險 • 第三階段:建立個資適當的安全維護機制

  29. 大綱 一、個資法對學校產生的衝擊 二、個資法的基本概念 三、學校因應個資的作為 四、如何進行個資盤點

  30. 個資盤點是什麼?其盤點重點為何? 主要是透過清查與個人檔案流程資料有關之表單、記錄,歸納出個人資料檔案(盤點)清冊。 重點:了解對個資的蒐集、處理與利用有無在特定目的範圍外、或是個人資料類別外的個人資料。建置完整合法的資料蒐集、處理及利用的標準流程。(個資生命週期)

  31. 個資盤點有何好處? • 可讓員工了解手中握有哪些資料?並 確認是否為個人資料? • 如何保管才能降低資料外洩風險 • 思考是否需要保留這些資料 (依以往作業習慣常是保留全部資料,即便該資料可能用不到也捨不得刪除或銷燬)

  32. 學校面臨個資盤點最大的困難為何? 因個資分散於各單位,若從 個人所擁有之檔案着手, 數量過於龐大。

  33. 個資盤點規劃(採階段性作法) 102年度 • 盤點對象:行政單位 • 盤點範圍: 內部控制作業程序相關表單/主管指定 103年度 將依據102年度實施經驗,擬定103年度計畫 • 盤點對象:行政單位+教學單位 • 盤點範圍:所有表單

  34. 102年度個資盤點計畫時程 一、102.7.15-8.16 各單位以內控作業程序為個資盤點的基礎,另各單位主管視業務需求,可增加個資盤點檔案。 二、102.8.19-8.30 二級主管檢核盤點檔案 三、102.9.2~ 由秘書室統整及後續處理

  35. 如何進行個資盤點 STEP1:內控檔案清冊: 清查各單位內控作業程序相關表單,個人所保有及管理的檔案 STEP2:個資檔案系統填報: 進入校務資訊系統(教職員)→調查→個資盤點,進行個資盤點登錄,填報個人保有及管理個資項目盤點表

  36. 個人保有及管理個資項目盤點表填寫說明

  37. 個人保有及管理個資項目盤點表填寫說明 1.【單位名稱】填寫 貴單位名稱;若有二級單位填二級單位,若無則填一級。 2.【個人資料檔案名稱】填寫內控作業程序,個人保有資料檔案名稱。 3.【內控代碼】依內控作業程序檔案之代碼選擇,若無則填“無”。 4.【資料形式】依資料形式填寫:系統、電子、紙本、網頁(可複選)。 5.【法源依據】為何要蒐集這些資料,是根據何法令規章辦法,或是行政命令 或是開會決議…等等。若找不出蒐集理由,則填“無” 。 6.【特定目的】填寫格式依個資法所公布之182項,可複選「代號 特定目的項目」, 例「079 學生資料管理」。 7.【個人資料類別】依10大類134項,填寫資料是屬於哪一種類,可以複選例:「識別類(C001辨識個人者、C003政府資料中之辨識者)」

  38. 個資法之個人資料類別10大類共134項 • 識別類 – 識別個人、識別財務 – 政府資料之辨識者 • 特徵類 – 個人描述、身體描述 – 習慣、個性 • 家庭情形 – 婚姻關係、親子關係 • 社會情形 – 食衣住行育樂會員 – 職業、執照、訴訟 • 教育、技術或其他專業 • – 學歷、證照、專業 • 受僱情形 • – 經歷、工作經驗、職業疾病、 •   安全、薪資 • 財務細節 • 商業資訊 • 健康與其他 • 其他各類資訊

  39. 個人保有及管理個資項目盤點表填寫說明 8.【個人資料範圍】:填寫所蒐集的個人資料,例如:姓名、出生年月日、 年級、電話、聯絡地址…等資料。 9.【有無特種資料?及類別?】:若有請填“有”並填上類別,例:健康檢查。   若無請填“無” 10.【有無監督管理之非公務機關】:系統有委外維運者,請填維運廠商名稱 11.【規範行為】:依個資生命週期填寫蒐集、處理、利用。 12.【使用單位】:填寫個人資料使用單位(本單位或其他單位)。 13.【資料保存期限】:若有法定之期限依其期限填寫;若無規定期限,則填5年。 14.【資料存放地點】:依單位存放地點填寫,或填更詳細亦可,如某地點某鐵櫃。

  40. 例:賃居學生名冊(內控代碼)

  41. (範例)單位內部保有及管理個資項目盤點表

  42. 範例:校務行政系統-學生綜合資料管理-外僑生管理﹣僑生資料維護範例:校務行政系統-學生綜合資料管理-外僑生管理﹣僑生資料維護

  43. 單位內部保有及管理個資項目盤點表(範例)

  44. 1 系統委外維運者,請填維運廠商名稱。

  45. 盤點填報遇問題時如何處理 例:不知道該如何歸類使用目的與個資類別。  :不確定手中所擁有的個資檔案是否在個資範圍內。 敬請向盤點小組成員詢問 • 秘書室:蔡振義  教務處:黃芬蘭 • 學務處:李良知  總務處:陳美琪 • 研發處:許癸鎣  人事室:丁鈴玲

  46. 簡報完畢 謝謝同仁參與並請指導

More Related