17.1 本分署員工及所屬各單位之正式人員、約聘僱人員、臨時人員、委外管理人員及委 外服務人員違反本規定之作業規定者,視其情節輕重,依相關規定予以處分,或依 法追究其民、刑事責任。
17.2 本規定如有未盡事宜得隨時修正。
17.3 本規定未訂定之事項得依行政院所頒訂之「行政院所屬各機關資訊安全管理要點」
及相關法令、規定辦理。
17.4 本規定經簽奉分署長官核定後實施,修正時亦同。
文件編號 PIMS-4-001 文件名稱 個資管理組織人員清冊
版 本 1.0 機密等級 □機密性 □敏感性 一般性
附件 1 個資管理組織人員清冊
個資管理組織人員清冊
日期: 年 月 日
職稱 單位 姓名 備註
召集人
委員會委員
執行秘書
內部稽核組組長
執行小組
各單位個資管理專 責人員
文件編號 PIMS-4-002 文件名稱 個資管理適用法規清冊
版 本 1.0 機密等級 □機密性 □敏感性 一般性
附件 2 個資管理適用法規清冊
個資管理適用法規清冊
科室名稱:__________
彙整人員:__________ 記錄日期:__年__月__日
編號 法規名稱 頒布機關 發佈日期 相關業務 盤點人員
1
2 3 4 5 6 7 8 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
單位主管:
文件編號 PIMS-4-003 文件名稱 新個資蒐集前查檢表
版 本 1.0 機密等級 □機密性 □敏感性 一般性
附件 3 新個資蒐集前查檢表
新資料蒐集前查檢表
申請日期 年 月 日 蒐集目的
蒐集範圍及類別 (格式 項目:法定類別編號)
特定目的
特定目的與本分署業務相關性說明:
符合法定職務說明 法源依據及法律要求說
明(例如:最小保存時 間)
(請注意確認為法律規定,行政命令),如有公文請列為附件 法律名稱: 條文:
公文名稱:
蒐集格式 個資保存時間 個資保存方式 預計利用方式(期間、
地區、方式)
資料蒐集方式 直接蒐集
如為間接蒐集
間接蒐集資料來源:______________________________
來源分類:合法公開資料庫公開可取得來源其他 _____________________________
間接蒐集資料來源合法性檢查:______________________
第十五條蒐集處理合法 要件
合於法定職務
採用經當事人同意。執行方法說明:
其他項目項目檢查 內容 是否符合
申請人 單位主管
註:本表申請完成後,應交由個資窗口存查。
文件編號 PIMS-4-004 文件名稱 新個資利用前申請表
版 本 1.0 機密等級 □機密性 □敏感性 一般性
附件 4 新個資利用前申請表
新個資利用前申請表
申請日期 年 月 日 將利用之個資說明 (說
明利用的標的及簡述利 用之狀況)
現有個資蒐集、處理狀況說明 利用之資料說明:
直接蒐集資料
間接蒐集資料:取得來源說明 _________________________
告知義務: 已依法告知 依法免告知_______________
目前資料保存方式、存放地點:_____ ________________________
目前資料管理單位及管理人員:_ 同申請單位 ________________________已以法 告知者請簡述已告知之內容於下方欄位
原蒐集取得同意之方式 法定職務:
書面同意 ______________
其他方式__________________
個人資料檔案說明 已公開之個人資料檔案
名稱
保有之依據
範圍
預計利用方式說明 利用之方式說明 (方
式、對象、地區、期 間) 交付方法、安全措 施
方式:
期間:
地區:
對象:
與原蒐集目的檢查 是否與原告知之利用方式、對象、期間、地區相符或與原蒐集 之法定職務範圍目的相符
文件編號 PIMS-4-004 文件名稱 新個資利用前申請表
版 本 1.0 機密等級 □機密性 □敏感性 一般性
是 否 保留意見_______________
是否合於本組織法定職 務(如超出法定職務,
依據個資法第 16 條,
不應利用)
是 否
是否合於原蒐集之特定 目的
是 否 說明:
利用方式(傳遞方式)是 否合乎適當安全維護之 說明
是 否 說明:
核准
申請人: 單位主管
文件編號 PIMS-4-005 文件名稱 業務委外服務個人資料保護作業補充規範範本 版 本 1.0 機密等級 □機密性 □敏感性 一般性
附件 5 業務委外服務個人資料保護作業補充規範範本
一、委託指示之範圍
受委託廠商應於本委託範圍所規範之範圍及類別進行個人資料之蒐集、處理、利用;不 得將個人資料進行超出本分署特定目的以外之蒐集、處理、利用行為;受委託廠商僅得 於本分署指示之範圍內,蒐集、處理或利用個人資料。違反或超出本規範委託範圍之情 事,除取得本分署事前之書面同意,均視為受委託廠商之私自行為,受委託廠商應負該 行為之責任,並賠償本分署因該行為而衍生之所有損失。
(一)委外契約主約:勞動部勞動力發展署雲嘉南分署與
○○○○○○○○公司,於__ 年__ 月簽訂之
○○○○○○○○ 契約(以下稱主契約)。
(二)個人資料之定義:為本分署於委託作業中,符合個人資料保護法第 2 條第 1 款中:
指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚 姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡 方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
(三)委託事項之定義:主契約內本分署委託之事項所涉個人資料之蒐集、處理、利用。
包括但不限於以下事項:
1.對於本分署存放個人資料之設備或儲存媒體相關維運工作等可能接觸到本分署個 人資料者。
2.可接觸本分署實體紙本個人資料,或可進出本分署存放個人資料紙本倉庫。
3.受委託進行包含個人資料之紙本或儲存媒體資料之運送、保存、銷毀或各項個資 法定義之處理或利用作業。
4.受委託登打、輸入、建檔等個人資料處理、利用作業。
文件編號 PIMS-4-005 文件名稱 業務委外服務個人資料保護作業補充規範範本 版 本 1.0 機密等級 □機密性 □敏感性 一般性
(四)委託蒐集、處理或利用個人資料範圍
本分署委託受委託廠商之範圍為前條主契約中約定之契約蒐集、處理或利用範圍,其 中包括姓名、性別、戶籍地址、電話等範圍。
(五)委託蒐集、處理或利用個人資料類別
本分署委託受委託廠商之範圍為前條主契約中約定之契約蒐集、處理或利用範圍,符 合個人資料保護法所規範之 C001, C011 類別。
(六)本分署之特目的
本分署蒐集、處理、利用個人資料之特定目的為
○二八交通及公共建設行政
○二九公民營(辦)交通運輸、公共運輸及公共建設 (七)委託蒐集、處理或利用個人資料期間
本分署委託受委託廠商蒐集、處理或利用個人資料之期間為
□ 同於主契約之起訖期間
□ 自民國__ 年__月__ 日起至__ 年__月__ 日止 二、監督方式
本分署依據個人資料保護法施行細則第 8 條,應定期確認受委託廠商執行之狀況,並將 確認結果記錄之。受委託者應於約定期間提交相關執行證據及監督報告至本分署承辦人 員,確保相關執行均於本分署之監督下完成。
三、個資委外監督報告繳交時間
受委託廠商應於委託期間結束前繳交個人資料委託作業之監督報告(以下簡稱監督報 告)。
文件編號 PIMS-4-005 文件名稱 業務委外服務個人資料保護作業補充規範範本 版 本 1.0 機密等級 □機密性 □敏感性 一般性
四、監督報告應包含內容
(一)委託指示之範圍符合性報告項目
1.受委託廠商應於監督報告中,確認該報告期間內之作業是否符合本分署委託指示 之範圍。
2.受委託廠商如於規範約定之期間內因作業需求而蒐集、處理或利用不同於主契約 約定範圍或不同於本規範約定範圍之個人資料,應立即以書面或其他方式向本分署 承辦人員反映,並於接獲進一步指示前,應暫時停止該作業之進行。
(二)執行受委託作業之狀況報告
本分署委託契約內如已明訂受委託廠商應繳付之蒐集、處理、利用個人資料等清 冊,則受委託廠商得以內部稽核自評表執行受委託作業之狀況報告,否則應於監督 報告中進行該報告期間的作業執行結果統計,內容詳細程度應確保本分署承辦人員 能了解受委託廠商之作業內容是否合於個人資料保護法、主契約及本規範,其中應 包括:
1.蒐集、處理、利用個人資料的筆數統計,包含不同格式、型態之數量統計(例如 本 期共蒐集 XXXX 作業申請表 135 筆,電子檔案 135 筆等)。
2.蒐集、處理、利用個人資料的範圍及類別統計 (例如 本期蒐集之範圍及類別包 括,XXXX 作業:範圍為姓名及地址、電話,類別為 C001)。
3.蒐集、處理、利用個人資料的管道、方式、對象等統計 (例如:本期蒐集之資料共 利用於稅務申報目的以電子檔方式傳送至財稅中心共計 135 筆;本期蒐集之個人 資料共 355 筆,其中 135 筆為教育訓練現場蒐集、220 筆為網路蒐集)
(三)受委託廠商就施行細則第十二條第二項採取之適當安全維護措施(以下簡稱適當安全 維護措施)
文件編號 PIMS-4-005 文件名稱 業務委外服務個人資料保護作業補充規範範本 版 本 1.0 機密等級 □機密性 □敏感性 一般性
為確保受委託廠商對於受本分署委託期間及指示範圍內作業均和於個人資料保護法施 行細則之安全要求,受委託廠商應依據個資法施行細則第 12 條第 2 項進行適當之安 全維護措施,並於主契約簽約或於收到本規範次日起 15 日內提交「安全維護措施計 畫」或已實施之相關證明送本分署核備。
1.受委託廠商已執行適當安全維護措施之證據 (例如程序書、執行紀錄等) 。 2. 第三方公正單位出具之證明(例如:通過個人資料管理相關國際標準認證之證明
文件)。
3.本分署或其他政府機構於三個月內曾進行對該單位適當安全維護措施外部稽核之 結果。
4.其他足資證明之文件。
5.以上證明應經過本分署個人資料管理小組執行秘書確認,必要時須經過本分署資 訊單位進行技術性確認後確認其證明之有效性。
(四)資料交付清冊
受委託廠商應於監督報告中包含該期之資料交付清冊之更新內容。
(五)異常項目報告
受委託廠商,應於監督報告中載明任何之異常作業,包括但不限於:
1.與主契約或本規範不符合之任何項目及其狀況及結果。
2.可能違反個人資料保護法、主契約或本規範之作業或現象。
3.可能違反、無法達成適當安全維護要求之風險或狀況。
4.本委託是項作業相關之重要人員異動或預見之重要人員異動。
5.相關系統設備、系統資源之異常狀況、中斷狀況、預計之停機、維修或其他可能 影響本分署委託事項作業之狀況。
文件編號 PIMS-4-005 文件名稱 業務委外服務個人資料保護作業補充規範範本 版 本 1.0 機密等級 □機密性 □敏感性 一般性
(六)其他報告事項
如需要,受委託廠商應於監督報告中記載相關與本委託事項之其他報告事項。
五、本分署針對受委託廠商之稽核作業
(一)本分署將對受委託廠商訂定之「安全維護措施計畫」採定/不定期稽核。如無法通 過本分署對於受委託廠商的適當安全維護檢核,本分署有權解除契約,受委託者應 賠償本分署因此產生之損失。
(二)本分署於稽核前七日以公文通知受委託廠商以確保受委託廠商做好稽核準備,受委 託之廠商應配合稽核並提出受稽之相關作業文件。如因受委託廠商發生個資事故或 疑似違反主契約或本規範情事,本分署得進行立即性之稽核或現場作業檢查,受委 託廠商不得拒絕。
(三)稽核時應記錄稽核發現之不符合項目,本分署將做成稽核紀錄,受委託廠商之應於 受稽核後簽署確認該稽核紀錄。
(四)本分署個資管理組織之稽核小組召集相關成員,人員得包含本分署政風人員、法制 人員及資訊人員。必要時,本分署得委託外部稽核人員、資通訊技術人員、法律人 員進行相關必要之檢查。
(五)本分署稽核小組進行現場稽核,以確保受委託廠商確實執行安全維護措施,受委託 廠商不得拒絕,並應支付外部稽核所需之費用。若受委託廠商不予配合致稽核無法 進行,則視為受委託廠商不符合相關法規及本契約之要求,本分署得視情形終止契 約。
(六)如發現不符合事項,受委託廠商應於十五日內提出矯正預防措施,並提出改善計畫 及時程,必要時本分署得要求再次到現場進行實地查核,受委託廠商不得拒絕。
(七)委外廠商於未能通過本分署對於適當安全維護措施之檢核時