跳到主要內容區

個人資料保護管理政策

中國文化大學 個人資料保護管理政策

文件版本:1.3

發行日期:110年01月05日

壹、目的

為符合相關法令規範,並建立完善之個人資料保護制度,確保本校個人資料之蒐集、處理及利用均妥善辦理,並維護個人及其他利害關係人之利益,特制定本政策。

貳、範圍

一、    本政策適用對象:本校全體教職員工(含派遣員工)及依法令規定或契約約定須適用本政策之人員或事業體。

二、    若本政策與主管機關現行有效個人資料法令有所牴觸時,應優先適用主管機關現行個人資料保護相關法令。

三、    就前項是否生有牴觸之爭議時,應由業務所屬學術或行政單位主管提案,經個人資料保護工作小組工作會議決議,並由個人資料管理代表決定之。必要時,得委託法律專業人員提供書面法律意見或函請法務部釋疑。

四、    若本校發布之程序書與本政策有所牴觸時,應優先適用本政策。但程序書較有利於個資當事人權利之保護者,仍應適用程序書。

五、    就前項是否生有牴觸或何者較有利於個資當事人權利保護有爭議時,應由業務所屬學術或行政單位主管提案,經個人資料保護工作小組工作會議決議,並由個人資料管理代表決定之。必要時,得委託法律專業人員提供書面法律意見。

參、作業說明

一、    為符合個人資料保護管理政策,應確保下列管理目標:

(一)  依「個人資料保護法」、「個人資料保護法施行細則」、教育體系資通安全暨個人資料管理規範與各式合約要求,保護個人資料蒐集、處理、利用、儲存、傳輸、銷毀之過程。

(二)  保護本校業務相關個人資料之安全,避免外在威脅或內部人員不當之管理與使用,以致遭竊取、毀損、滅失、或洩漏等風險。

(三)  提升對個人資料保護與應變處理個人資料事件之能力,降低對本校營運、個資當事人與利害關係人之風險,並創造可信賴之個人資料保護及隱私環境。

二、    個人資料保護管理指標

        依據「個人資料檔案安全維護管理組織設置作業程序書」辦理。

三、    為落實個人資料保護事宜,本校應建置個人資料保護運作組織,成立跨組織之個人資料保護工作小組,配置相當資源,並明確訂定教職員在個人資料保護運作組織中之責任。

四、    本校為界定個人資料之範圍,清查所持有個人資料檔案並建立清冊,並辨識高風險個資,且每年執行作業流程檢視及個資盤點作業,以確保、維護個人資料之正確性及從新性。

五、    本校應建立個人資料之風險評估及管理機制,制定個人資料檔案安全維護計畫,藉由設備安全管理及人員管理,以確保本校業務範圍內各項個資文件及檔案獲得安全保護,並確保本校資訊系統處理個人資料之安全性、正確性與完整性。

六、    本校應制定個資蒐集、處理及利用管理程序,以合法、公平且透明的蒐集、處理、利用個人資料,並符合個人資料保護相關法令及主管機關之要求。

七、    本校應針對合法的特定目的蒐集最少量的個人資料,且僅處理相關且適當的個人資料,並明確提供個資當事人其個人資料使用方式與使用對象的資訊。

八、    個人資料之特定目的外利用,應符合個人資料保護相關法令有關例外狀況之規定。

九、    僅依據個人資料保護相關法令、主管機關要求、以及合法特定目的的要求下保存個人資料。

十、    本校應制定業務終止後個人資料處理方法,以因應個資相關業務終止後,須移轉或銷毀之個人資料的處理方式及程序。

十一、  本校應建立個資遭竊取、竄改、毀損、滅失、洩漏或其他不合理或違法利用時之事故預防、通報及應變機制。

十二、  本校每年應規劃及舉辦有關個資保護之教育訓練及宣導課程,以提升本校所有同仁對於個人資料保護之認知。

十三、  本校應就個人資料之蒐集、處理、利用,為必要之使用紀錄、軌跡資料及證據之保存。

十四、  本校應設置聯絡窗口及處理程序,供當事人行使個資法賦予之權利或提出相關之申訴與諮詢。

十五、  本校應明定個人資料文件及檔案之保管期限,並針對超過保管期限之文件及檔案建立刪除或銷毀等處理程序。

十六、  本校應使用技術及組織方法以適當確保個人資料的安全性、正確性及機密性。確定個人資料被適當保護之下,方可進行個人資料之國際傳輸。   

十七、  本校應要求接觸本校個資之往來廠商或業務合作對象應遵循本政策及相關規定。本校個資相關作業委外時,應善盡委任及監督責任。

十八、  本校應將個資保護列入稽核檢查項目,並至少每年審查個人資料保護管理政策之執行及施行現狀,以查核個人資料保護管理制度落實狀況及矯正預防結果追蹤。

十九、  本校同仁如經查明確有違反本政策之情事,將依工作規則之相關懲處規定辦理。

二十、  本校應制定個資保護暨隱私權聲明,內容包括有關本校對個人資料及隱私權之保護,以明確告知個資當事人本校之個資暨隱私權保護相關措施,並於本校網站上公告。

二十一、本校應致力發展與實施上開個人資料保護措施,並適時鑑別內外部利害關係人,及其參與個人資料保護治理之程度。

二十二、本校之個人資料保護管理政策,每年定期或因時勢變遷或法令修正等事由,予以適當修訂,並陳本校個人資料保護工作小組審議,並經個人資料管理長核准通過後公告實施。

參考文件

個人資料檔案安全維護管理組織設置作業程序書。