私立職業訓練機構個人資料檔案安全維護計畫及 處理辦法

私立職業訓練機構個人資料檔案安全維護計畫及 處理辦法

中華民國 103 年 4 月 14 日勞動發訓字第 1031813034 號令發布 中華民國 110 年 9 月 27 日勞動發訓字第 11005122851 號令修正 中華民國 111 年 3 月 18 日勞動發訓字第 11105031581 號令修正

第 一 條　　本辦法依個人資料保護法（以下簡稱本法）第二十七條第 三項規定訂定之。

第 二 條　　本辦法適用對象為職業訓練法第五條第二款及第三款所定 之私立職業訓練機構。

第 三 條　　私立職業訓練機構為落實個人資料檔案之安全維護及管理，

以防止個人資料被竊取、竄改、毀損、滅失或洩漏，應訂定 個人資料檔案安全維護計畫(以下簡稱本計畫)。

本計畫內容，應包含下列事項:

一、個人資料保護規劃。

二、個人資料管理程序。

三、其他個人資料檔案安全維護事項。

第 四 條　　私立職業訓練機構對個人資料保護之規劃，應包括下列事 項：

一、個人資料保護相關法令規定之遵守。

二、於特定目的範圍內，蒐集、處理及利用個人資料之合理 安全方法。

三、於特定目的範圍外，利用個人資料之合理安全方法。

四、保護所蒐集、處理、利用之個人資料檔案之合理安全水 準技術。

五、供當事人行使個人資料之相關權利、提出相關申訴及諮 詢之聯絡窗口。

六、處理個人資料被竊取、竄改、毀損、滅失或洩漏等事故之 緊急應變程序。

七、委託蒐集、處理及利用個人資料者，監督受託者之機制。

八、確保個人資料檔案之安全，維持本計畫運作之機制。

第 五 條　　私立職業訓練機構就個人資料檔案之安全維護管理，應指 定適當人員或專責組織負責，並配置相當資源。

前項人員或專責組織之任務如下:

一、規劃、訂定、修正及執行本計畫。

二、定期對所屬人員施以基礎認知宣導或專業教育訓練，

使其瞭解個人資料保護相關法令規定、責任範圍、管 理措施或方法。

第 六 條　　私立職業訓練機構應依據個人資料保護相關法令，清查所 保有之個人資料，納入本計畫之範圍及建立檔案，並隨時 確認有否變動。

第 七 條　　私立職業訓練機構應依據前條所界定之範圍，分析蒐集、

處理及利用過程中可能產生之風險，並依據分析結果，於 本計畫中訂定適當管控措施。

第 八 條　　私立職業訓練機構為因應所保有之個人資料被竊取、竄改、

毀損、滅失或洩漏等事故，於本計畫中應建立下列機制：

一、應變處理機制：控制事故對當事人之損害。

二、事故調查機制：以適當方式通知當事人，並告知採取 之因應措施。

三、檢討預防機制：避免類似事故再次發生。

私立職業訓練機構發生前項事故時，應於七十二小時內填 具 通 報 紀 錄 表 （ 如 附 表 ） ， 通 報 所 在 地 之 直 轄 市 、 縣

（市）政府，並副知中央目的事業主管機關；中央目的事 業主管機關或直轄市、縣（市）政府接獲通報後，得依本 法第二十二條至第二十五條規定所賦予之職權，為適當之 監督管理措施。

第 九 條　　私立職業訓練機構就本法第六條第一項所定之個人資料，

應於蒐集、處理或利用前，確認符合相關法令規定。

第 十 條　　私立職業訓練機構為履行本法第八條及第九條所定之告知 義務，於本計畫中應建立下列作業程序：

一、依據蒐集資料情況，採取適當之告知方式。

二、確認符合免告知當事人之事由。

第十一條　　私立職業訓練機構對個人資料之蒐集、處理或利用，除本 法第六條第一項所定之資料外，於本計畫中應建立下列作 業程序：

一、確認蒐集、處理個人資料符合特定目的及法定要件。

二、確認利用個人資料符合特定目的必要範圍；於特定目 的外利用個人資料時，應檢視是否具備法定特定目的 外之利用要件。

第十二條　　私立職業訓練機構利用個人資料行銷時，於本計畫中應建 立下列作業程序：

一、利用個人資料行銷前，應讓當事人知悉並獲得同意。

二、首次行銷時，應提供當事人表示拒絕接受行銷之方式 並支付所需費用。

三、當事人表示拒絕接受行銷時，立即停止利用其個人資 料行銷，並通知所屬人員。

第十三條　　私立職業訓練機構進行個人資料國際傳輸前，應檢視有無 中央目的事業主管機關依本法第二十一條規定所為之限制 並告知當事人其個人資料所欲國際傳輸之區域。

前項個人資料國際傳輸，私立職業訓練機構應對資料接收 方為下列事項之監督：

一、預定處理或利用個人資料之範圍、類別、特定目的、期間、

地區、對象及方式。

二、當事人行使本法第三條所定權利之相關事項。

第十四條　　當事人就其個人資料行使本法第三條所定之權利者，私立 職業訓練機構於本計畫中應建立下列作業程序：

一、確認其為個人資料之本人或法定代理人。

二、提供當事人行使權利之方式，並依本法第十三條所定 處理期限辦理。

三、確認有無本法第十條及第十一條得拒絕當事人行使權 利之事由，拒絕時並附理由通知當事人。

四、查詢或請求閱覽個人資料或製給複製本者，告知得收 取之費用標準或酌收必要成本費用。

第十五條　　私立職業訓練機構為維護其保有個人資料之正確性，於本 計畫中應建立下列作業程序：

一、檢視個人資料於蒐集、處理或利用過程，有無錯誤。

二、定期檢查資料，發現錯誤者，適時更正或補充。未為更 正或補充者，於更正或補充後，通知曾提供利用之對 象。

三、有爭議者，依本法第十一條第二項規定就爭議資料之 處理或利用，建立相關作業程序。

第十六條　　私立職業訓練機構應定期確認所保有個人資料之特定目的 有無消失或期限屆滿。

個人資料之特定目的消失或期限屆滿時，應依本法第十一 條第三項規定辦理。

第十七條　　私立職業訓練機構就人員管理，應採取下列措施：

一、確認蒐集、處理及利用個人資料之各相關業務流程之負 責人員。

二、依據作業之需要，建立管理機制，設定所屬人員不同 權限，並定期確認權限內容之適當及必要性。

三、與所屬人員約定保密義務。

四、所屬人員離職時取消其識別碼，並收繳其通行證(卡) 及相關證件。

五、所屬人員持有個人資料者，於其離職時，應要求其返 還個人資料之載體，並銷毀或刪除因執行業務儲存而 持有之個人資料。

第十八條　　私立職業訓練機構蒐集、處理或利用個人資料，就資料安 全管理，應採取下列措施：

一、訂定作業注意事項。

二、運用電腦或自動化機器相關設備，訂定使用可攜式設 備或儲存媒介物之規範。

三、保有之個人資料內容，有加密或遮蔽之必要時，採取 適當之加密或遮蔽機制。

四、傳輸個人資料時，因應不同之傳輸方式，有加密必要 時，採取適當加密機制，並確認資料收受者之正確性。

五、依據保有資料之重要性，評估有備份必要時，予以備 份，並比照原件加密。儲存備份資料之媒介物，以適 當方式保管，且定期進行備份資料之還原測試，以確 保有效性。

六、儲存個人資料之媒介物於報廢或轉作其他用途時，以 物理或其他方式確實破壞或刪除媒介物中所儲存之資 料。

七、妥善保存管理機制及加密機制中所運用之密碼。

第十九條　　私立職業訓練機構就設備安全管理，應採取下列措施：

一、依據作業內容不同，實施必要之進出管制方式。

二、妥善保管個人資料之儲存媒介物。

三、針對不同作業環境，加強天然災害及其他意外災害之 防護，並建置必要之防災設備。

第二十條　　私立職業訓練機構就技術管理，應採取下列措施：

一、於電腦、自動化處理設備或系統上設定認證機制，對有 存取個人資料權限之人員進行識別及控管。

二、認證機制使用之帳號及密碼，具備一定之複雜度，並 定期更換密碼。

三、於電腦、自動化處理設備或系統上設定警示與相關反應 機制，以對不正常之存取進行適當之反應及處理。

四、個人資料存取權限之數量及範圍，依作業必要予以設 定，且不得共用存取權限。

五、採用防火牆或入侵偵測等設備，避免儲存個人資料之 系統遭受無權限之存取。

六、使用能存取個人資料之應用程式時，確認使用者具備 使用權限。

七、定期測試權限認證機制之有效性。

八、定期檢視個人資料之存取權限設定。

九、於處理個人資料之電腦系統中安裝防毒、防駭軟體，並 定期更新病毒碼。

十、對於電腦作業系統及相關應用程式之漏洞，定期安裝 修補程式。

十一、對於具備存取權限之電腦或自動化處理設備，不得 安裝檔案分享軟體。

十二、測試處理個人資料之資訊系統時，不使用真實個人 資料，有使用真實個人資料之情形時，明確規定使 用程序。

十三、處理個人資料之資訊系統有變更時，確認其安全性 並未降低。

十四、定期檢查處理個人資料資訊系統之使用狀況，及個 人資料存取情形。

第二十一條　私立職業訓練機構執行本計畫各項程序及措施，應保存下 列紀錄：

一、因應事故發生所採取之行為。

二、提供當事人行使之權利。

三、個人資料之維護及修正。

四、所屬人員權限之異動。

五、所屬人員違反權限之行為。

六、備份及還原之測試。

七、個人資料之交付及傳輸。

八、個人資料之刪除及銷毀。

九、存取個人資料者之資訊。

十、定期檢查處理個人資料之資訊。

十一、教育訓練。

十二、計畫稽核及改善措施之執行。

第二十二條　私立職業訓練機構業務終止後之個人資料處理，應刪除或 銷毀儲存個人資料之媒介物中所儲存之資料，記錄並留存 刪除或銷毀之方法、時間、地點及證明刪除或銷毀之方式。

第二十三條　私立職業訓練機構應定期檢查本計畫執行情形，並建立未 落實執行之改善措施。

第二十四條　本辦法自發布日施行。

附表、私立職業訓練機構通報紀錄表

(

由 私 立 職 業 訓 練 機 構 填 寫

₎

私立職業訓練機構名稱 通報對象

通報時間： 年 月 日 時 分 單位圖記（蓋章）

通報人：

職稱：

電話：

Email:

地址：

事故發生時間

事故發生種類 □竊取

□洩漏

□竄改

□毀損

□滅失

□其他侵害事故

個人資料侵害總筆數

□一般個人資料 筆

□特種個人資料 筆 發生原因及事實摘要

損害狀況

事故發生可能結果 擬採取之因應措施

是否通知當事人 □是，時間 ，方式

□否，原因 是否於事故發生後 72 小

時內通報

□是 □否，理由

後 續 行 政 措 施 及 前 置 作 業 填 寫

₎

(

由 所 在 地 之 直 轄 市

、縣

₍

₎

是 否 為 嚴 重 影 響 民 眾 權 益 之 重 大 社 會 矚 目 案 件 ； 倘 是 ， 影 響 層 面 為 何

□是，影響層面：

□否

是否安排進行行政檢查 □是，時間

□否，理由 就 事 故 發 生 判 斷 是 否 違

反個人資料保護法

□是 □否，理由

就事故發生之後續處置 結案時間