附錄 B 個人資料管理規範
B.5 公正與合法的處理
為確保施行單位公正且合法的處理個人資料,並於清楚識別法令上 之各項要求,是落實「遵循個人資料保護法律及良好實務」承諾的基 礎。此部分針對個人資料無論直接及間接的蒐集行為,及後續的個人資 料處過程,提供明確的作業流程設計與執行指引。
本章節主要的內容可參照下表:
本規範 附錄A
個資法
B.5 公正與合法的處理
控制目標 B.5.1 蒐集與處理 §8,§9
控制項 B.5.1.1
蒐集與處 理作業審 查
定期審查作業流程,以確保公正且合法的 蒐集與處理個s 人資料
§8,§9
控制目標 B.5.2 告知與同意
§8,§9
§17,§7,
§15,§19
控制項
B.5.2.1 告知事項 告知事項應符合個人資料保護法令要求 §8,§9
§17 B.5.2.2 告知或同
意作業程 序
訂定管理程序,以確保告知作業之執行及 執行證據保存
§8,§9
§17,§7,
§15,§19
實作指引
一、蒐集與處理(B.5.1)
(一)蒐集與處理作業審查(B.5.1.1)
與個人資料相關之蒐集與處理作業流程,應於重大變更發 生時,應進行審查確認:
1.所蒐集、處理及利用之個人資料如包含特種個人資料,是否
符合相關法令之要件,於個人資料保護法第六條暫緩施行期 間仍應確認符合。
2.蒐集、處理個人資料之特定目的符合免告知之事由。
3.蒐集、處理個人資料符合個人資料保護法第十五或十九條規 定,具有特定目的及法定要件,符合特定目的內利用
4.利用個人資料符合個人資料保護法第十六條或二十條第一項 規定,於特定目的外利用個人資料時具備法定特定目的外利 用要件。
5.僅在特定目的內,公正且合法的蒐集與處理個人資料;列為 公務機關之施行單位以依適當方式公開者為限;非公務機關 者以告之或合於免告知特定目的為限。有變更者,亦同。
6.僅在符合施行單位需求及個人料保護法律規範下,處理特種 個人資料。
7.須告知事項或取得當事人同意時,其執行時機,應遵循個人 資料保護法與相關法律規範,並留存必要記錄。
8.利用個人資料為宣傳、推廣或行銷時,應明確告知當事人其 所屬學校、機構立案名稱及個人資料來源。
9.首次利用個人資料為宣傳、推廣或行銷時。
(1)應提供當事人表示拒絕接受宣傳、推廣或行銷之方式,
並支付所需費用。
(2)當事人表示拒絕宣傳、推廣或行銷後,應立即停止利用 其個人資料宣傳、推廣或行銷,並周知所屬人員。
(3)取得行銷同意時,同意書蒐集與保存要求。
10.新建立的個人資料蒐集流程於啟用前,宜由個人資料管理 小組(B.2.1.2)審查並留下紀錄,確保符合資料保護法律規 範。
11.宜依據個人資料風險等級,訂定處理與利用之作業過程得 考量採取的保護要求,並於日常作業中遵循之。
12.自第三方間接蒐集的個人資料,應確認其僅透過公平與合 法方式取得。
二、告知與同意(B.5.2)
(一)告知事項(B.5.2.1)
施行單位如屬公務機關則應依個人資料保護法要求在全球 資訊網等官方網站上公開個人資料檔案相關資訊。
施行單位如非公務機關或非為免告知事項,而應對當事人 進行個人資料蒐集的告知或取得當事人同意時,其內容及執行 時機,應遵循個人資料保護法律規範。告知事項應依個人資料 保護法第 8 條明確告知當事人相關資訊:
1.機關名稱。
2.蒐集目的。
3.個人資料的類別。
4.個人資料利用期間、地區、對象及方式。
5.當事人行使之權利事項及方式等。
6.當事人不提供個人資料對其權益之影響。
告知事項或書面同意內容宜納入下列考量:
1.告知事項或同意內容宜配合法令、組織架構與作業程序的變 動,重新審查並適度修訂告知事項內容。
2.告知事項或同意內容宜設計版本識別方式,降低版本誤用的 風險。
3.宜以完整版本的告知事項或書面同意內容進行;如僅提供文 件索引,索引資訊應足以引導使用者取得完整版本的告知事 項。
4.告知事項或同意內容應考量當事人特性,使當事人易於瞭解 與取得。
5.透過全球資訊網蒐集個人資料時,應說明於網頁上蒐集當事 人資料之技術細節,及其他有關促使處理流程公平之資訊。
(二)告知或同意作業程序(B.5.2.2)
施行單位宜訂定告知作業執行程序,以確保:
1.於蒐集、處理前執行告知事項或取得當事人同意。
2.執行告知事項與取得當事人同意作業,並依程序留存必要的 作業紀錄。
3.維持告知事項與取得當事人同意之各版本完整內容,於個人 資料保存期限內予以留存。
4.告知事項與當事人同意之紀錄,應等同或超過個人資料留存 之時間。
施行單位如由其他外部單位蒐集或取得個人資料亦應確保 公平與合法地蒐集個人資料。如使應告知事項則確保於處理或 利用前,向當事人告知 B.5.2.1 告知事項所列之項目。