個人資料管理組織

長(Data Protection Officer, DPO)時，應指定 符合資格要求的工作人員來擔任此角色。

個資管理長：學校、機構應由副首長擔任或指定，負責督 導安全維護計畫訂定及執行之人員，以展示單位在遵循資料保 護法律及最佳實務之決心。其職責應包含：

1.核准個人資料管理相關政策。

2.依個人資料管理相關政策發展與實施 PIMS。

3.遵循個人資料管理相關政策執行安全與風險管理。

宜藉由包含處罰、員工教育訓練，或訂定與實施控管程 序，要求所有人員遵循個人資料管理相關政策。

（二）資料保護長(B.2.1.2)

當施行單位依據法規、權責機關要求事項，或營運目的，

而被要求指派 PIMS 管理人(DPO)時，應指定符合資格要求的工 作人員來擔任此職務。本職務應確保下列事項：

1.PIMS 政策符合適用法律、法規與營運要求。

2.適切的隱私衝擊分析與風險評鑑依據要求執行。

3.依要求向權責機關進行通報。

施行單位應及時參與 DPO 或適任工作人員處理所有個人資 料處理的相關議題。

（三）日常作業管理責任(B.2.1.3)

個人資料管理人應指派並授權一位或多位受過個人資料管 理訓練或具經驗之員工，擔任「個人資料管理小組」，負責：

1.訂定及執行安全維護計畫，包括業務終止後個人資料處理方 法。

2.定期就個人資料檔案安全維護管理情形，向管理人提出書面 報告。

3.依據稽核人員就計畫執行之評核，於進行檢討改進後，向管 理人及稽核人員提出書面報告。

「個人資料管理小組」並應承擔下列日常作業政策的遵循 責任：

1.發展與審核個人資料管理相關政策。

2.確保政策的實施。

3.政策的管理審查。

4.依政策要求，進行訓練與持續性認知宣導。

5.個人資料處理程序之核准，例如：

(1)告知事項的管理與溝通。

(2)當事人權利行使的處理。

(3)個人資料的蒐集與處理。

(4)抱怨的處理。

(5)安全事故的管理。

(6)委外與國際傳輸管理。

6.協調組織內部風險管理與安全議題負責單位。

7.提供資料保護法令領域專家的意見與指引。

8.個人資料處理例外狀況的說明與應用。

9.提供資料分享方案相關建議(包含資料異地處理的安全議 題)。

10.蒐集與資料保護法令相關之法律修訂及合適的指導綱要。

11.確保組織獲取與資料保護法律相關之法規修訂及適當的指 導綱要；PIMS 政策應持續依據法令更新進行審查。

12.實施適當措施以符合與個人資料處理相關並適用於組織的 強制性或建議性產業規範。

個人資料稽核人員：同時學校、機構應由校長、機構負責 人指定，負責評核安全維護計畫執行情形及成效之人員。

（四）個資管理窗口(B.2.1.4)

若適用範圍涵蓋多個執行個人資料處理作業的單位，各單 位應指定專人辦理單位內，負責：

1.擔任所屬單位的個人資料管理窗口。

2.協助員工遵循個人資料管理相關政策執行日常作業。