107學年度個資盤點教育訓練
108.08.20圖書資訊處
非經同意,請勿任意轉載!
再次認識個人資料保護範圍與目的…
個資法的要求…
非經同意,請勿任意轉載!
個資法之適用範圍
• 以任何方式(包括紙本)留存的資料
• 任何方式取得個人資料 (§2)
• 生存之特定或得特定之自然人
適用之客體- 個人資料
• 「公務機關」與「非公務機關」包括各行各業及個人 (§2)
• 受委託蒐集、處理或利用個人資料者, 視同委託機關 (§4)
適用之主體
非經同意,請勿任意轉載!
3個資法之適用範圍
4
中央或地方機關或行政法人。
公務機關以外所有之自然人、法人 或其他團體,通通都是本法所定的
「非公務機關」。
個人資料保護法第 2 條第 7 款規定
個人資料保護法第 2 條第 8 款規定
受公務機關或非公務機關委託蒐 集、處理或利用個人資料者,於 本法適用範圍內,視同委託機關。
個人資料保護法第 4 條規定
非經同意,請勿任意轉載!
自然人
姓名 出生年
月日 國民身 分證統 一編號
護照號 碼
特徵
指紋
婚姻
家庭
教育 病歷 職業
醫療 基因
性生活 健康檢
查 犯罪前
科 聯絡方
式
財務情 況
社會活 動
其他
個人資料 個人資料檔案:
指依系統建立而得以自動 化機器或其他非自動化方 式檢索、整理之個人資料 之集合。
個人資料保護法 第 2 條
個人資料
5
直接識別該個人之資料 間接識別該個人之資料
非經同意,請勿任意轉載!
自然人
姓名 出生年
月日 國民身 分證統 一編號
護照號 碼
特徵
指紋
婚姻
家庭
教育 病歷 職業
醫療 基因
性生活 健康檢
查 犯罪前
科 聯絡方
式
財務情 況
社會活 動
其他
特種個人資料:依法得 於特定目的下蒐集,餘 不得蒐集、處理或利用 但有下列情形之一者,不在此限:
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行 法定義務必要範圍內,且事前或事後有適當安 全維護措施。
三、當事人自行公開或其他已合法公開之個人 資料。
四、公務機關或學術研究機構基於醫療、衛生 或犯罪預防之目的,為統計或學術研究而有必 要,且資料經過提供者處理後或經蒐集者依其 揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機 關履行法定義務必要範圍內,且事前或事後有 適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必 要範圍或其他法律另有限制不得僅依當事人書 面同意蒐集、處理或利用,或其同意違反其意
願者,不在此限。 個人資料保護法 第 6 條
(民國 104 年 12 月 30 日修正)
特種個人資料
D 非經同意,請勿任意轉載!
特種個資定義
特種個 人資料
病歷
醫療
基因 性生活
健康 檢查 犯罪 前科
7
C一一一健康紀錄
指醫療法第六十七條第二項所列之各款資料。
一、醫師依醫師法執行業務所製作之病歷。
二、各項檢查、檢驗報告資料。
三、其他各類醫事人員執行業務所製作之紀 錄。
C一一一健康紀錄
指病歷及其他由醫師或其他之醫事人 員,以治療、矯正、預防人體疾病、
傷害、殘缺為目的,或其他醫學上之 正當理由,所為之診察及治療;或基 於以上之診察結果,所為處方、用藥、
施術或處置所產生之個人資料。
C一一三種族或血統來源
指由人體一段去氧核醣核酸構成,為 人體控制特定功能之遺傳單位訊息。
C一一五 其他裁判及行政處分
指經緩起訴、職權不起訴或法院判決 有罪確定、執行之紀錄。
C一一一健康紀錄
指非針對特定疾病進行診斷或治療之 目的,而以醫療行為施以檢查所產生 之資料。
C一一二性生活
指性取向或性慣行之個人資料。
個人資料保護法施行細則 第 4 條
(民國 105 年 03 月 02 日修正)
非經同意,請勿任意轉載!
高風險個資之定義-參考
(各單位可自行律定高風險個資之組合)特種 個資 病歷
醫療
基因 性生活
健康檢 查 犯罪前
科
8
敏感性 個資 種族
黨派
宗教信仰 社團組織
身心狀況
高風險個資:包含前述之特種個資及敏感性個資、財務資料、國際上代表個人之識別代碼(如護照號碼)、弱勢者或 孩童之個人資料、詳細個人資料、敏感性的協商內容,其足以影響到個人權益之資料。
非經同意,請勿任意轉載!
有哪些資料,不受個資法保護
• 如單純個人(例如:社交活動、寄送喜帖等)或家庭活動(例如:建 立親友通訊錄等)而蒐集、處理或利用個人資料的行為
• 上述資料的蒐集必須與職業或業務職掌無關 一、自然人為單純個人或
家庭活動之目的,而蒐集、
處理或利用個人資料(§51)
• 在網路上放自己與他人的合照或影音資料的情形,例如運動會照片、
遊樂場拍攝小孩與其他小孩一起遊玩的影片等
• 為解決在網路上放合照或其他在合理範圍內之影音資料,對於在公開 場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影 音資料,不適用個人資料保護法,而回歸民法適用。
二、於公開場所或公開活 動中所蒐集、處理或利用 之未與其他個人資料結合 之影音資料。(§51)
非經同意,請勿任意轉載!
9個資法之規範範圍
蒐集 處理
利用
10
以任何方式取得個人資料。
將蒐集之個人資料為處理以外之使 用。
為建立或利用個人資料檔案所為資 料之記錄、輸入、儲存、編輯、更 正、複製、檢索、刪除、輸出、連 結或內部傳送。
將個人資料作跨國(境)之處理或 利用。
直接蒐集:直接從當事人取得個人資料。(§8) 間接蒐集:透過第三方取得個人資料。(§9) 例如:內政部警政署依法向中央健康保險局蒐集 失蹤人口之就醫時間及地點等個人資料。
例如:(1)總公司將資料傳送給國外(境 外)分公司或國外其他公司、機關(構)等。
(2)公務機關將資料傳送給國外(境外)辦 事處或國外其他公務機關(構)、公司等。
揭露第三方:如提供檢調單位調查、提供主管 機關備查、提供勞健保給勞健保機構、提供 報稅資料給國稅局、稅捐單位。
例如:金融機構將蒐集之存款戶個人資料提 供行政執行分署依行政執行法令辦理相關執 行事項。
新增文件、建立檔案、輸入系統。
編輯檔案、刪除檔案、儲存檔案、複製檔案。
檢索查詢、更正錯誤、製作連結。
內部傳送至別部門/單位。
例如:公司行號以建置職員勤惰管理系統儲存
或編輯員工上下班情形。
非經同意,請勿任意轉載!
常見個資
11
教育機構 常見個資
教職員工
人事資料 學生基本 資料
家長聯絡 方式
家庭 狀況
班級成績 資料
健康檢查 結果
心理 開會簽到 輔導
單 出缺席紀
錄 獎懲
紀錄 畢業紀念
冊 書籍借閱
紀錄
考卷
更多….
非經同意,請勿任意轉載!
個人資料之當事人所擁有之權利
個人 資料
查詢或請 求閱覽
請求製給 複製本
請求補充 或更正 請求停止
蒐集、處 理或利用 請求刪除
12
個人資料保護法 第 3 條
非經同意,請勿任意轉載!
何謂特定目的?
非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符 合下列情形之一者 : (個資法第19條)
一. 法律明文規定。
二. 與當事人有契約或類似契約之關係,且已採取適當之安全措施。
三. 當事人自行公開或其他已合法公開之個人資料。
四. 學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐 集者依其揭露方式無從識別特定之當事人。
五. 經當事人同意。
六. 為增進公共利益所必要。
七. 個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護 之重大利益者,不在此限。
八. 對當事人權益無侵害。蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該 資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。
特定目的:法源依據(國家法令法規、本校辦法、要點…)
13非經同意,請勿任意轉載!
個人資料檔案盤點
http://pipa.moj.gov.tw/dl.asp?fileName=548101657.pdf14
蒐集
處理
利用
國際 傳輪
個人 資料
銷毀
1.以任何方式取得個人 資料
2.為建立或利用個人資 料檔案所為資料之記 錄、輸入、儲存、編 輯、更正、檢索、刪 除、輸出、連結或內部 傳送
3.將蒐集之個人資料為處理以 外之使用。
(提供外部單位,如報部...)
4.將個人資料作跨國
(境)之處理或利用
5.將屆滿保存年限,且不 具保存價值之個人資料,
經法定程序核准後,選擇 焚化、化為碎紙或溶紙漿 等適當方式,將個人資料 內容完全消除或毀滅之作 業程序
非經同意,請勿任意轉載!
模糊不清…
• https://www.ithome.com.tw/article/91041
D 非經同意,請勿任意轉載! 15
大學常見的個資法問題
16
(甄選、各式招生、新生)
(交換學生、境外生)
(校際選課生)
(進修推廣學生) (教職員工) (專兼任教授) (考試中心、綜合業務、註冊組、…)
(國際暨兩岸)
(綜合業務)
(推廣教育)
(人事室) (各教學單位)
*悠遊卡公司
*成績單委外印寄
*缺曠課通知家長
*清寒獎學金名單公告
*畢業生流向追蹤
*推廣教育寄發課程訊息
*教職員工職缺通知
*銀行、超商收學雜費
*委外開發….
非經同意,請勿任意轉載!
大學常見的個資法問題
• 蒐集個資有無超過必要範圍?
17
(甄選、各式招生、新生)
(交換學生、境外生)
(校際選課生)
(進修推廣學生) (教職員工) (專兼任教授) (國際暨兩岸)
(綜合業務)
(推廣教育)
(人事室) (各教學單位)
*悠遊卡公司
*成績單委外印寄
*缺曠課通知家長
*清寒獎學金名單公告
*畢業生流向追蹤
*推廣教育寄發課程訊息
*教職員工職缺通知
*銀行、超商收學雜費
*。。。。。
(考試中心、綜合業務、註冊組、…)
非經同意,請勿任意轉載!
大學常見的個資法問題
• 蒐集個資有無告知法定事項?(個資蒐集告知聲明)
18
(甄選、各式招生、新生)
(交換學生、境外生)
(校際選課生)
(進修推廣學生) (教職員工) (專兼任教授) (國際暨兩岸)
(綜合業務)
(推廣教育)
(人事室) (各教學單位)
*悠遊卡公司
*成績單委外印寄
*缺曠課通知家長
*清寒獎學金名單公告
*畢業生流向追蹤
*推廣教育寄發課程訊息
*教職員工職缺通知
*銀行、超商收學雜費
*委外開發….
(考試中心、綜合業務、註冊組、…)
非經同意,請勿任意轉載!
大學常見的個資法問題
• 利用個資有無超出蒐集目的?
19
(甄選、各式招生、新生)
(交換學生、境外生)
(校際選課生)
(進修推廣學生) (教職員工) (專兼任教授) (國際暨兩岸)
(綜合業務)
(推廣教育)
(人事室) (各教學單位)
*悠遊卡公司
*成績單委外印寄
*缺曠課通知家長
*清寒獎學金名單公告
*畢業生流向追蹤
*推廣教育寄發課程訊息
*教職員工職缺通知
*銀行、超商收學雜費
*委外開發….
(考試中心、綜合業務、註冊組、…)
非經同意,請勿任意轉載!
大學常見的個資法問題
• 委外處理、利用個資有無監督?
20
(甄選、各式招生、新生)
(交換學生、境外生)
(校際選課生)
(進修推廣學生) (教職員工) (專兼任教授) (國際暨兩岸)
(綜合業務)
(推廣教育)
(人事室) (各教學單位)
*悠遊卡公司
*成績單委外印寄
*缺曠課通知家長
*清寒獎學金名單公告
*畢業生流向追蹤
*推廣教育寄發課程訊息
*教職員工職缺通知
*銀行、超商收學雜費 委外開發….
(考試中心、綜合業務、註冊組、…)
非經同意,請勿任意轉載!
永遠搞不清的… 直接/間接
直接蒐集與間接蒐集…
若非直接向當事人蒐集個人資料,而是透過第三 方所提供的資料,因而蒐集到了個人資料,屬於 間接蒐集個資
反之則為”直接蒐集” (直接蒐集則於蒐集時立即2 告知)
https://www.ithome.com.tw/article/88048 21
非經同意,請勿任意轉載!
https://www.ithome.com.tw/article/8804822
間接蒐集 不須告知…
非經同意,請勿任意轉載!
如何檢視…
拿出各位單位的業務職掌
查看大家的作業流程
交互核對
重覆檢核
個資盤點須配合作業流程與業務職執行逐一核對
法令法規的符合性/過度收蒐集(未符合特定目的)
非經同意,請勿任意轉載!
23看到這新聞,您想到什麼?
非經同意,請勿任意轉載!
24看到這新聞,您想到什麼?
非經同意,請勿任意轉載!
25看到這新聞,您想到什麼?
26
中天新聞20180627
https://tw.news.appledaily.com/headline/daily/20180627/38054604/
銷毀程序?
回收再利用?
日常業務 落實度?
A 非經同意,請勿任意轉載!
本校常見問題…
非經同意,請勿任意轉載!
A 非經同意,請勿任意轉載! 28
健康檢查….
全黑
有紅字
每年比較…
A 非經同意,請勿任意轉載! 29
• 別把稽核當找碴,借由他人之手,
• 更容易看到被自己忽略的事….
非經同意,請勿任意轉載!
30★
同仁對行為規範「處理」、「利用」和「揭露」不清楚…..
本校內稽後發現的問題. . .
1 / 3★
個資漏盤,有檔案資料未盤入清冊★
保存期限:超過保存期限,不敢進行銷毀;對保 存期限之設定不清楚…非經同意,請勿任意轉載!
★
個資範圍同仁對個資範圍不清楚,有些表單欄位的個資沒 有列入、有些單位將法人的部份也列入本校內稽後發現的問題. . .
2 / 3★
保有依據的誤植學術單位個資保有依據大多寫大學法….★
個資盤點清冊各單位會互相參考,有些單位連同 單位名稱忘了修改非經同意,請勿任意轉載!
★
同仁對行為規範「處理」、「利用」和「揭露」不清楚…..
本校內稽後發現的問題. . .
3 /3★
個人資料處理與利用作業的保全:日常檔案的備份…
寄送含有個資之電子檔案未加密…
使用非公務電腦(個人NB…)是否就不須”保護”
★
單位之實習生、工讀生…未簽保密切結書非經同意,請勿任意轉載!
本校外稽後被提列的問題...
次要不符合事項• B.4.1.1個人資料清冊:個資盤點作業應將既有個資處理作業與其過程所需收集之佐證資料納 入考量
– 各單位應重新檢視「ISMS-04-064個資盤點清冊暨風險評鑑表」將其處理作業依其檔案格式(電子檔、
紙本及資料庫)分開呈現;另原生表單需有佐證資料時仍須將蒐集之個資表單或檔案欄位列入
• B.5.2.2告知或同意作業程序:相關個資蒐集作業應加強告知事項之聲明
– 各單位辦理各項研習活動需另外蒐集當事人個資時,應依附錄B個人資料管理規範B.5.2.1告知事項 及「ISMS-P3-001行政業務處理個人資料作業規範」5.2辦理。
– 進行個人資料蒐集與告知作業時,應明確告知當事人相關資訊或透過圖書資訊處規劃之「研習活動 報名網」於報名前進行告知聲明
• B.8.1.1資料保存與銷毀程序:單位應加強與識別個資保存期限與過期個資銷毀作業
– 各單位應重新檢視「ISMS-04-064個資盤點清冊暨風險評鑑表」,依『保有依據』法律、行政規章等 所訂定之保存期限或『參考』國家發展委員會檔案管理局所訂之『機關共通性檔案保存年限基準 (GRS)-20大專校院類』,以識別出個資的『保存年限』。
– 個人資料檔案因特定目的消失、個人資料之當事人行使「請求刪除」權利及保存年限屆滿時,應定 期(每年)審視,如需辦理刪除個資(包括紙本及電子檔)時,應詳實將相關資訊正確註記於「ISMS-04- 069個人資料刪除/銷毀/返還清冊」
非經同意,請勿任意轉載!
本校外稽後被提列的問題...
觀察事項• B.7.1.2 相關且不過度管理:宜在考量業務流程所需佐證留存之必要性,避免過度蒐集
– 為避免過度蒐集,請各單位重新審視業務流程佐證資料留存之必要性,並依「ISMS-P3-001行政業務處理個人資 料作業規範」5.2個人資料蒐集與告知作業(5.2.5)辦理,業務作業需蒐集政府證件如身分證、健保卡、駕駛執照等,
驗畢後即歸還,如需保留複本或傳送至外部辦理機構,應加註使用目的,並僅能用於特定業務
• B.10.1.1個人資料控管措施:宜考量外部人員遠端連線處理敏感資料個人電腦之風險評估
– 遠端連線處理之使用為當今資訊環境支援上無法避免之應用,將於管理程序上進行必要之規劃,同時要求同仁 需使用遠端連線作業予非校內同仁/單位時,應全程監督與記錄
– ISMS-04-077-委外廠商遠端連線操作紀錄表
• B.10.1.3安全控制措施審查:宜考量重要個資保存環境之安全性
– 對於各單位所擁有之檔案管理室或獨立之資料存放空間,將請其評估環境安全之風險,並進行消防等相關設施 裝置之可行性
• 柒、一、(三):組織全景分析宜再識別校外單位的範圍與可能衝擊情境分析內容
– 組織全景評鑑表
• 柒、五、(一):宜再識別管控措施之要求和實施狀況
• 柒、六、(一):個人資料管理有效性量測作業宜再加強
– 有效性量測表(個資)
非經同意,請勿任意轉載!
本校外稽後被提列的問題...
觀察事項• B.3.1.1政策認知訓練:宜再加強個資政策、管理程序相關之訓練
– 圖資處針對個資管理相關作為於106年8月至106年11月止,已進行至少三次課程之研習,對於 同仁之認知訓練已盡力,未來將協請人事室及稽核室進行教育訓練有效性查核
• B.10.1.1個人資料控管措施:部分處室個資料備份作業宜再加強
– 相關行政單位同仁於本校每季要求之電腦安全自我檢查表送交時皆對於備份作業都勾記“已 完成”,於實際稽核時卻都沒有進行相關必要作為之執行,本案未來將交由稽核室協助查核
• B.12.1.1委外管理程序:宜再識別委外廠商與外部單位之個資要求事項
– 對於合約之委外安全要求事項,除要求合約簽定業務單位必須落實相關條款外,亦將協請總 務單位於採購合約審查時協助確認相關要求事項是否已書明,同時協請稽核室針對各單位委 外合約進行不定時抽查
非經同意,請勿任意轉載!
新知心知…
非經同意,請勿任意轉載!
非經同意,請勿任意轉載!
38歐盟個資保護新法-嚴格護衛隱私
|20180127 公視全球現場深度週報
非經同意,請勿任意轉載!
39何謂GDPR
一般資料保護規定(General Data Protection Regulation,簡稱GDPR)
根據GDRP官網描述,這條法規是「保護以及加強歐盟成員國人民的資料隱私,以及重塑整個 地區內的組織處理資料隱私的方法。」雖是這麼說,但正因為網路無遠弗屆的特性,讓資料 本身根本沒有地域性可言。
這項法規的基礎,是「被遺忘權(right to be forgotten)」,是一種在歐盟已經付諸實踐的人 權概念,可以要求控制資料的一方,刪除所有個人資料的任何連結(link)、副本(copies)
或複製品(replication);還有「資料可攜權(Right to data portability)」,意思是用戶可以 將A服務的資料,轉移到B服務上,這也就是為什麼Instagram最近推出資料打包備份功能、蘋 果推出管理個資工具。
資料來源:數位時代-https://www.bnext.com.tw/article/49249/gdpr-general-data-protection-regulation-eu- 40
什麼是GDPR ? 不可不知的歐盟資料保護規則 General Data Protection Regulation
https://www.youtube.com/watch?v=-jNxv447qKI
非經同意,請勿任意轉載!
誰受GDPR的規範…
資料來源:Microsoft 網站 41 什麼是GDPR ? 不可不知的歐盟資料保護規則 General Data
Protection Regulation
https://www.youtube.com/watch?v=-jNxv447qKI
非經同意,請勿任意轉載!
資料來源:Microsoft 網站 42
非經同意,請勿任意轉載!
GDPR 10大重點
1 2 3 4 5
以資料為主體
必須設置資料保護長,
且需負起法律責任 必須先徵求當事 人的同意
強化個人資料可 攜權權利
新增被遺忘權 (資料抹除)
6 7 8 9 10
外洩,必須在72小 時內通報
個資保護系統預設 要納入隱私保護
賦予當事人有權 反對 -
被自動化剖析(Profiling)
落實資料保護影 響評估
提高罰則金額,甚至 以全球營業額計算
非經同意,請勿任意轉載!
GDPR十大重點-1
以資料為主體
GDPR除了適用在歐盟地區註冊的企業,或者是不是歐盟註冊的企業,但在歐盟營 運,或者是,有蒐集、處理或利用歐盟民眾個人資料的企業或組織等,都在GDPR 的規範中。
非經同意,請勿任意轉載!
44GDPR十大重點-2
企業必須設置資料保護長,且需負起法律責任
全球所有企業的核心業務,只要涉及歐洲民眾個資的蒐集、處理和利用時,不論公 司規模大小,都必須設置資料保護長。這個資料保護長必須要有效依法履行職責,
一旦企業有違反GDPR的規範,這個資料保護長需要被追究相關的法律責任。
非經同意,請勿任意轉載!
45GDPR十大重點-3
個資的蒐集、處理和利用,必須先徵求當事人的同意
歐盟要求企業必須強化同意書的條件,不可以使用充滿法律術語和難以理解的文字,
且必須和其他事項內容有區隔,可以更容易獲得民眾的了解和同意。
GDPR不僅要求要提供簡明易懂的個資使用同意書,連撤銷個資使用的同意書,也 必須一樣簡明易懂且容易撤銷。
GDPR也賦予歐洲民眾可以選擇「不共用資料」的權利,也就是說,歐洲民眾可以 拒絕企業共同行銷。
非經同意,請勿任意轉載!
46GDPR十大重點-4
強化個人資料可攜權權利
資料可攜權就是讓歐洲民眾在不同服務業者之間,具有自由搬動個資的權利,例如,
歐洲民眾可以從某個ISP業者,輕易搬到另外一個ISP業者的服務上。
非經同意,請勿任意轉載!
47GDPR十大重點-5
新增被遺忘權(資料抹除)
「被遺忘權」是近年來歐洲對於隱私保護一再強調的重點項目之一,像是,歐洲法 院過去已經有不少的判例要求,包括Google在內的搜尋引擎業者,必須把「不相關」
或「過期」的個人資訊結果中,移除相關的連結。
被遺忘權也被稱為「資料抹除」,就是要讓資料的當事人可以要求包括資料控制者 以及資料處理者,必須協助抹除當事人個人資料、停止使用當事人個資,這包括供 應商和其他的第三方業者在內。他指出,抹除資料的前提條件包括:資料利用與處 理目的不同、非法處理個資,或者是資料當事人撤銷同意書等,都可以要求刪除。
GDPR上規範的被遺忘權,在現階段比較偏向「搜尋不到相關資訊」。
非經同意,請勿任意轉載!
48GDPR十大重點-6
外洩個資,必須在72小時內通報資料保護主管機關
不論是資料控制者或者是資料處理者,一旦爆發個資外洩的資安事件時,必須要在72小 時內,即刻通報給資料保護主管機關(Data Protection Authority);但是,如果這個外 洩資料對於當事人會造成重要危害時,也應該要及時通知當事人。
歐盟對於應該在多久期間內,將個資外洩的事情通知當事人,並沒有明確規定,但若以 公告機制作為通知當事人的作為,是可以的。
不論是資料控制者或者是資料處理者,一旦爆發個資外洩的資安事件時,必須要在72小 時內,即刻通報給資料保護主管機關(Data Protection Authority);但是,如果這個外 洩資料對於當事人會造成重要危害時,也應該要及時通知當事人。
歐盟對於應該在多久期間內,將個資外洩的事情通知當事人,並沒有明確規定,但若以 公告機制作為通知當事人的作為,是可以的。
非經同意,請勿任意轉載!
49GDPR十大重點-7
個資保護系統預設要納入隱私保護
要求企業或組織在建置及設計新資訊系統時,應該要將資料保護設計納入考量。
不只要跟IT部門或者是合作廠商溝通,必須要將相關的技術、合約、管理等措施,
都符合GDPR的規範,也必須要將這些處理標準,例如個資或個人可識別資訊(PII)
的儲存和傳輸加密等過程,都納入和第三方委外合作廠商簽訂的合約中,而且,這 個規範也適用於提供「雲端服務」的資料控制者和資料處理者。
非經同意,請勿任意轉載!
50GDPR十大重點-8
賦予當事人有權反對被自動化剖析(Profiling)權利
一旦當事人提出反對權,而資料控制者或處理者無其他正當理由反對時,就必須立 即停止處理當事人個資。
GDPR賦予資料當事人有權了解某一項特定服務,是如何利用大數據分析、機器學 習、人工智慧等技術,進行資料分析和研判的服務,當然也有權反對被如此剖析。
非經同意,請勿任意轉載!
51GDPR十大重點-9
要求企業必須落實資料保護影響評估
DPIA(Data Protection Impact Assessments 數據保護影響評估)主要是要辨識業務流 程中,有哪些涉及個人隱私權利的風險,並加以衡量、管理和因應;而且在進行評 估前,也應該先確認相關的業務活動與帶來的隱私風險,是否具有其對稱性和必要 性。
非經同意,請勿任意轉載!
52GDPR十大重點-10
提高罰則金額,甚至以全球營業額計算罰金金額
為了讓企業更有警覺,GDPR更大幅提高罰金金額,罰款分兩種情境做處罰,第一 種是沒有合法理由,拒絕當事人刪除個人資料的請求,也沒有建立對企業或用戶資 料保護的文件化管理系統時,最高可以處罰1千萬歐元(約新臺幣3.6億元),或者 是全球營業總額的2%作為罰款。
如果是更嚴重的違規,不論是非法處理個資;沒有合法理由,拒絕用戶停止處理個 資的情求;在資料外洩事故發生後,沒有及時通知個資監管機構;沒有執行隱私風 險評估(DPIA);沒有任命資料保護長;違法向第三國傳輸個資等違規行為,最高 可以處罰2千萬歐元(新臺幣7.2億元)或是全球營業總額4%作為罰款。
不論是定額罰金或是營業總額比例的罰金,哪一個罰款多,就以哪一個為主。
非經同意,請勿任意轉載!
53所以…我們了解了???
賦予權…
告知義務 當事人同意 處理的合宜性 利用的合法性 傳輸的保護力 銷毀的落實性
隨時留意新聞與法令法規的異動
…..以上皆是…..安全維護措施
非經同意,請勿任意轉載!
54非經同意,請勿任意轉載!
55非經同意,請勿任意轉載!
56Q&A
感謝您的聆聽
非經同意,請勿任意轉載!
57參考資料
• 本校資安管理文件
http://olis.twu.edu.tw/isms_regulation.php
• 本校個資管理文件
http://olis.twu.edu.tw/pims_regulation.php
• 教育機構資安驗證中心
https://www.iscb.edu.tw/
• 教育部 校園資訊安全服務網 https://cissnet.edu.tw/
本簡報所引用之圖片、影音等資料之版權皆屬原著作者,請勿隨意再製! 58
非經同意,請勿任意轉載!
• 教育部 主管法規查詢系統
http://edu.law.moe.gov.tw/index.aspx
• 法務部 個人資料保護專區 http://pipa.moj.gov.tw
• 探討使用GOOGLE表單蒐集個資之迷思
http://nchu-iscb-casestudy.blogspot.tw/2017/07/ISCB1701.html
• 利用程式每天自動檢查您的GOOGLE表單狀況並寄發信件
http://nchu-iscb-casestudy.blogspot.tw/2017/07/ISCB1702.html
本簡報所引用之圖片、影音等資料之版權皆屬原著作者,請勿隨意再製! 59
非經同意,請勿任意轉載!
107學年度個資管理重點工作時程
• 請各單位參酌並轉達相關作業承辦人員,以利配合並提早規範各事務,謝謝協助!
– 請各單位「個人資料管理執行小組」成員參加107年8月20日13:30於MA305辦理107學年度個 資盤點說明會及Google Apps Script教育訓練。
– 請於107年9月4日前完成107學年度個資盤點作業,將盤點結果送單位會議審議通過後,將紙 本及電子資料送交圖書資訊處資訊安全維護組。(參與106年度發證稽核單位,請進行次要不 符合事項與觀察事項進行矯正作業)
– 預訂107年9月底前召開107學年度第1次個資委員會,進行管理審查及全校個資盤點結果複核,
請各單位務必於期限內完成相關個資作業調整並完成106年度發證稽核次要不符合事項與觀察 事項之矯正作業,各矯正作為請於107年9月15日將電子資料寄送圖書資訊處資訊安全維護組。
– 「教育機構資安驗證中心」將於107年11月至本校進行第一年追查稽核,確切日期將待驗證中 心通知後,轉知受稽單位
非經同意,請勿任意轉載!
下列事項請大家務必於107年10月底前完成
• 配合個資盤點清冊,完成必要資料之銷毀作業或歸檔處理(入庫要有清冊)
• 銷毀作業的記錄或照片請務必完備
• 過保存年限之資料若不刪除,可於單位會議上決議後即可以不立即刪除,惟請務必有相 關紀錄
• 各單位之倉庫或存放重要資料之檔案櫃,務必有必要之安全管控,如進出記錄表、攝影 存錄或其它保全措施
• 各項申請表單請務必仔細盤點….
• 日常業務執行之必要原則或僅知原則,對於本校管理程序之認知請務必自我提昇
• 其它….不要怕被查….
