個資管理制度 - 102輔仁大學個資導入文件下載區

Download Report

Transcript 個資管理制度 - 102輔仁大學個資導入文件下載區

中華數位科技 / 益思科技法律事務所 企資保護研究小組 個資專案顧問

專案團隊介紹 中華數位科技 & 益思科技法律事務所 法律 專業分析 參考並落實 系統最佳化 個人資 料保護 法 最佳實務 資安 系統整合 ISO 管理制度

©中華數位科版權所有,保留一切權利。

專案目標 符合 個資法規範 建置 作業SOP 教育訓練& 業務須知

©中華數位科版權所有,保留一切權利。

遵照:個資法施行細則

Plan

1. 配置管理之人員及相當資源 2. 界定個人資料之範圍 3. 個人資料之風險評估及管理機制 4. 事故之預防、通報及應變機制 5. 個人資料蒐集、處理及利用之內部管理程序

Do

6. 資料安全管理及人員管理 7. 認知宣導及教育訓練 8. 設備安全管理

Action

11.個人資料安全維護之整體持續改善 符合 ISO 管理制度

相關作業規範書符合國際標準

未來可能結合現有 ISO27001 安全 防護

Check

9.資料安全稽核機制 10.使用紀錄、軌跡資料及證據保存

©中華數位科版權所有,保留一切權利。

執行參考依據:教育部辦理研討會

©中華數位科版權所有,保留一切權利。

執行參考依據:主管機關 個資管理自我檢視表

©中華數位科版權所有,保留一切權利。

執行參考依據:主管機關

©中華數位科版權所有,保留一切權利。

整體執行架構 (P-D-C-A) P 訪談作業

• •

個資盤點表 業務分析作業 D 作業規範

• •

業務規範書 相關表單設計 D 安全防護

• •

資安風險評估 系統管理檢視 C 管理落實

• •

教育訓練活動 公告與施行 A

©中華數位科版權所有,保留一切權利。

今天作業目標

 

依據

 個資法主管機關要求  教育部個資研討會建議  專案需求書

辦理事項:管理制度草案(預告)

   個資管理制度 個資業務SOP(作業程序) 個資業務辦理須知 ©中華數位科版權所有,保留一切權利。

後續的專案流程:制訂『個資業務』規範書

  

各單位審閱(承辦人)

 提供業務規劃提案  參考並提出意見

個資管理委員會審閱(長官)

 核定個資業務管理程序  核定『個資管理制度』  核定後續風險強化做為

時程規劃

   業務單位審閱:6月份 個資管理委員會審閱:7月份 個資管理制度上線:8月份 ©中華數位科版權所有,保留一切權利。

個資管理制度介紹(草案) 1. 個資管理組織

個資管理組織簡介 管理委員會角色說明

個資管理委員會

(一) 個資安全政策、目標之研議、協調與推動事項。 (二) 個資安全風險評鑑與風險管理研議與審查事項。 (三) 個資安全稽核結果審查與改善情形追蹤事項。 (四) 個資安全管理文件審查、修訂及發佈等事項。 (五) 個資安全觀念推廣與宣導事項。 (六) 個資安全責任之分配及協調。 (七) 其他資訊安全事項之核定。 ©中華數位科版權所有,保留一切權利。

個資管理組織簡介 執行分組角色說明(各單位代表、系秘書)

執行分組

(一)政策研擬與提案 (二)辦理推廣訓練 (三)協助各項個資業務管理之落實 (1) 協助管理代表(召集人)推行個資管理。 (2) 依相關法令辦理安全維護及保管事項。 (3) 傳達管理代表(召集人)之決策,以貫徹個資管理。 (4) 協調各組使組織相關個人資料保護之運作更落實。 (5) 彙集、轉陳各組之意見、資料,供管理代表(召集人)作最佳 決策。 (6) 協助追蹤、管理個人資料保護稽核所提相關建議事項。 (7) 定期蒐集、分析及陳報個資相關通報及執行狀況之報告。 (四)設置窗口,執行以下通報作業 (1) 企業間個人資料保護業務之協調聯繫及主管機關緊急應變通報。 (2) 非資訊面個人資料安全事件之通報。

個資管理組織簡介 稽核分組角色說明(需由『個資管理委員會』指定)

稽核分組

(一) 研提年度個人資料與隱私保護管理稽核計畫。 (二) 配合年度稽核計畫執行相關稽核活動並提供改善建議 事項予管理委員會。 (三) 對外查核業務之規劃與執行作業。 (四) 配合主管機關的行政檢查作業。 ©中華數位科版權所有,保留一切權利。

個資管理制度介紹(草案) 2. 個資管理規章

管理制度介紹

  

制度參考依據

 國際ISO標準  英國BSI 個資管理制度

管理制度(文件)管理方式

 一階文件:個人資料保護管理手冊  二階文件:管理程序書  三階文件:SOP、說明書、執行須知  四階文件: 各式表單

後續發展

   結合輔仁大學ISO27001制度 定期召開『個資管理審查委員會』 目前規劃:資訊單位為 PM 窗口 ©中華數位科版權所有,保留一切權利。

一階文件:個人資料保護管理手冊

規範架構

 組織與分工  個資管理原則 (個資法的作業原則規範)  個資作業原則 (告知、蒐集、處理、利用、)     當事人權益請求原則 個資保護安全原則 (IT 系統 & 作業程序) 事件應變作業原則 稽核與預防作業原則 ©中華數位科版權所有,保留一切權利。

二階文件:各式管理程序書

程序書包括

 個人資料管理審查機制 (主管會議運作方式)   個資盤點與風險評估作業 個資蒐集、處理、利用程序書   個資告知程序書 個資文件管理程序書  個資業務稽核程序 ©中華數位科版權所有,保留一切權利。

四階文件:各式表單

表單包括

 保密切結書  個人資料當事人權益申請書  個人資料告知事項暨同意書(範本)  個資查詢或調閱申請單  個資處理權限審核單  矯正與預防處理  紀錄彙整封面(範本)  紀錄銷燬一覽表 ©中華數位科版權所有,保留一切權利。

個資管理制度 – 業務、行政單位審閱

今天座談會聚焦 盤點作業 蒐集、處理 、利用程序 各式表單 運用

©中華數位科版權所有,保留一切權利。

盤點作業

  

個資資料檔案名稱:(自定名稱) 業務(個資保有)依據

 法律規定  主管機關函示辦理  內部管理規範  特定業務目的  當事人書面同意

業務目的

  學校教學目的 (預警通知,學生異常通知) 學生內部管理   (輔導) 組織內部管理 (人事、會計、訓練、行政) 舉辦學術研討活動 

個資類別

 C001 識別個人者 (基本個人資料:如姓名、地址、通  訊電話、相片) C002 識別財務者  C003 :政府資料中之識別者 (身份字號、統一編號、保險憑證、    護照號碼) C021 家庭情形 C051 學校記錄 C061 受雇情形    C057 學生記錄 C088 保險細節 C111 健康記錄 ©中華數位科版權所有,保留一切權利。

盤點作業

 

個資利用期間

 永久  活動辦理期間  指定:3,6,12個月

個資利用地區

  中華民國 國外利用  

個資蒐集方式

 告知(符合學校辦學目的)  同意(目的外、特殊活動)

個資處理、利用方式

   公告(成績單、榜單、會員名單) 輸出外部單位名稱 (主管機關、基金會、其他學校) 提供查詢及利用 (家長、校友、系所、) ©中華數位科版權所有,保留一切權利。

個資業務盤點表: 所需欄位建議如下

             

個資資料檔案名稱:(自定名稱) 資訊系統名稱 業務(個資保有)依據 業務目的 個資類別 個資利用期間 個資利用地區 個資蒐集方式 個資處理、利用方式 承辦人、管理人 資料類型(電子、紙本) 蒐集特種個資情形(如犯罪紀錄、醫療資訊) 保存方式、地點 個資數量

©中華數位科版權所有,保留一切權利。

個資業務申請單

申請單位 申請人 個人資料 檔案名稱 個人資料類別 業務依據 特定目的 個資利用期間、 方式、地區 批示意見 簽核 ©中華數位科版權所有,保留一切權利。

告知(同意)書範本

©中華數位科版權所有,保留一切權利。

『當事人』(師生、員工) 個資權益申請書

©中華數位科版權所有,保留一切權利。

『內部單位』調閱單

©中華數位科版權所有,保留一切權利。

『個資輸出』保密書

©中華數位科版權所有,保留一切權利。

各單位訪談後 – 建議執行方案討論

『學生資料卡』議題討論 個資蒐集欄位的必要性檢視 敏感個資欄位的 業務使用方式 敏感個資蒐集有無必要性

©中華數位科版權所有,保留一切權利。

『學生學籍資料表』參考

©中華數位科版權所有,保留一切權利。

『個人家庭基本資料表』參考

©中華數位科版權所有,保留一切權利。

『學生基本資料表2 』參考(1/2)

©中華數位科版權所有,保留一切權利。

『學生基本資料表2 』參考(2/2)

©中華數位科版權所有,保留一切權利。

『學生資料卡』議題討論 (業務調整方式:由『個資委員會』確定) 個資調閱單 建議 執行方式 『學生學籍資料表』為一般學生聯繫必要資訊 『個人家庭基本資料表』個資內容較為敏感 『學生基本資料表2』個資內容較為敏感 『學生學籍資料表』參考無須填單 『個人家庭基本資料表』需填單調閱 『學生基本資料表2』需填單調閱 業務 調整 非使用敏感個資:建議刪除 各單位業務所需資訊:確認管理單位

©中華數位科版權所有,保留一切權利。

成年學生(20)的個資權益申請: 停止『家長』的個資利用(查成績)行為 『未成年』(未滿20歲)申請需家長同意 『成年』(滿20歲)當事人(學生)可直接申請 一般基本資料的更正, 無需填表單 可能的申請權益:(家長) 成績查詢、到課、學習通知 主要表單:個資權益申請書

©中華數位科版權所有,保留一切權利。

成年學生(20)的個資權益申請: (由『個資委員會』選定方案後落實) 方案一(冷處理) 1. 不提供正式表單 2. 教育訓練時淡化此項議題 3. 每次均個案處理 方案二(積極處理) 1. 通知『家長』因應個資法提供『學生權益申請』 2. 結合『學費註冊單』,需一併繳回『同意書』 3. 每次開學時,接受申請[限定期間] 4. [限定期間]外,申請個案處理

©中華數位科版權所有,保留一切權利。

『停止利用』的學生個資權益申請 1. 各系所所舉辦的各類活動(餐會、系所聯誼會、) 2. 畢業生的各項聯繫行為(輔大校友會、募款活動、傑出校友聯繫) 3. 校內各項通知(工作機會、實習活動、其他[如高中]校友會) 各項執行原則: 必須與學生服務有關 聯繫方式: 以『匿名通知』方式進行 使用表單:個資權益申請書

©中華數位科版權所有,保留一切權利。

停止利用的學生個資權益申請: (由『個資委員會』核定後落實) 『在學期間』管理原則 1. 辦理目的:強化團體意識,增進師生情感 2. 原則『不提供』此項個資停止利用的申請 3. 均個案處理,並評估『是否侵害學生隱私權』 4. 個案處理後,調整業務辦理方式 『畢業生』管理原則 1. 辦理目的:強化校友凝結,增進輔大團體力量 2. 原則『提供』此項個資停止利用的申請 3. 活動均需由主辦單位,提供『停止利用』方式 4. 接受申請後,類似活動對特定人應停止

©中華數位科版權所有,保留一切權利。

提供:個資安全保護的聲明 『會議』活動通知書、簽到表 『通訊錄』的個資使用聲明 『畢業紀念冊』安全使用聲明 『網路』平台安全使用聲明 『敏感個資業務』流程管理 『個資簽收』表單(演講、禮品)

©中華數位科版權所有,保留一切權利。

其他個案問題:將獨立處理 『原民會』業務適法性問題 『職涯輔導系統』業務適法性問題 推廣部的會員管理議題

©中華數位科版權所有,保留一切權利。

後續專案活動說明 – 請各單位配合辦理

後續的專案流程

   

請持續辦理『個資盤點作業』 管理制度核定

 預計:7月份核定

後續公告

 預計:8月份公告各類表單

教育訓練

 預計8月辦理 ©中華數位科版權所有,保留一切權利。

後續的專案流程

  

各單位審閱(承辦人)

 提供業務規劃提案  參考並提出意見

個資管理委員會審閱(長官)

 核定個資業務管理程序  核定『個資管理制度』  核定後續風險強化做為

時程規劃

   業務單位審閱:6月份 個資管理委員會審閱:7月份 個資管理制度上線:8月份 ©中華數位科版權所有,保留一切權利。

問題與解答 機密性與智財權宣告:本簡報僅本研討會使用, 非經中華數位同意,請勿上網傳佈或揭露予與 本活動無關之第三人。

©中華數位科版權所有,保留一切權利。