個人資料保護政策
僑泰高級中學(以下簡稱本校)為落實個人資料之保護及管理並符合「個人資料保護法」、「教育體系資通安全暨個人資料管理規範」及「私立高級中等以下學校及幼兒園個人資料檔案安全維護計畫實施辦法」相關規定之要求,特訂定個人資料保護管理政策(以下簡稱本政策)。
本校個人資料保護管理之目標如下:
1.依「個人資料保護法」、「個人資料保護法施行細則」之規定,保護個人資料蒐集、處理、利用、儲存、傳輸、銷毀之過程。
2.為保護本校業務相關個人資料之安全,免於因外在威脅,或內部人員不當之管理與使用,致遭受竊取、竄改、毀損、滅失或洩漏等風險。
3.提升對個人資料之保護與管理能力,降低營運風險,並創造可信賴之個人資料保護及隱私環境。
4.為提升同仁個人資料保護安全意識,每年定期辦理個人資料保護宣導教育訓練。
5.定期針對個人資料檔案進行風險評鑑作業,鑑別可接受風險等級。
一、個人資料之蒐集與處理
本校因營運所需取得或蒐集之包括但不限於個人之姓名、出生年月日、國民身分證統一編號(護照號碼)、特徵、指紋、婚姻、家庭、教育、職業等個人資料,應遵循我國個人資料保護法(以下簡稱個資法)等法令,不過度且符合目的、相關且適當並公平與合法地從事個人資料之蒐集與處理。
二、個人資料之利用及國際傳輸
1.本校於利用個人資料時,除需依個資法之特定目的必要範圍內為之外,如需為特定目的以外之利用時,將依據個資法第十六條之規定辦理;倘有需取得用戶之書面同意之必要者,本校應依法取得用戶之書面同意。
2.本校所蒐集、處理之個人資料,應遵循我國個資法及本校個資管理制度之規範,且個人資料之使用為本校營運或業務所需,方可為本校承辦同仁利用。
3.本校取得之個人資料,如有進行國際傳遞之必要者,必定謹遵不違反國家重大利益、不以迂迴方法向第三國傳遞或利用個人資料規避個資法之規定等原則辦理,又,倘中央目的事業主管機關為因應國際條約或協定有特別規定、或資料接受國對於個人資料之保護未有完善之法令致有損害當事人權益之虞的情況,制定相關法規命令限制大專院校之國際傳 輸,本校將於符合相關法規命令限制之情況下進行國際傳輸,以維護個人資料之安全。
三、個人資料之調閱與異動
本校應尊重當事人對其個人資料所能行使之權利,當本校接獲個人資料調閲或異動之需求時,應依個資法及本校所訂之程序,於合法範圍內進行當事人之個人資料權利行使,並維持個人資料之正確性。
四、個人資料之例外應用
1.本校因業務上所擁有之個人資料負有保密義務,除當事人之要求查閱或有下列情形外,應符合個資法第十六條及相關法令規定,並以正式公文查詢外,本校不得對第三人揭露
(1)司法機關、監察機關或警政機關因偵查犯罪或調查證據所需者。
(2)其他政府機關因執行公權力並有正當理由所需者。
(3)與公眾生命安全有關之機關(構)為緊急救助所需者。
2.本校對個人資料之利用,除個資法第六條第一項所規定資料外應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:
(1)法律明文規定。
(2)為增進公共利益。
(3)為免除當事人之生命、身體、自由或財產上之危險。
(4)為防止他人權益之重大危害。
(5)公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
(6)有利於當事人權益。
(7)經當事人同意。
五、個人資料之保護
1.本校已成立個人資料保護組織,明確定義相關人員之責任與義務,全體員工及委外廠商應遵循個人資料管理制
2.為防止個人資料被竊取、竄改、毀損、滅失或洩漏,本校設置個資保護執行小組,統籌各項個資保護作業原則規劃事宜,由各一級單位主管組成之,電子計算機中心主任擔任召集人,並依相關法令規定辦理個人資料檔案及個人資料清冊安全維護及更新事項。
3.個人資料檔案應建立管理制度,分級分類管理,並針對接觸人員建立安全管理規範。
4.為確保所有個人資料安全,應強化個人資料檔案資訊系統之存取安全,防止非法授權存取,維護個人資料之隱私性,應建立安全保護機制,並定期查核。
5.個人資料檔案儲存於個人電腦者,應於該電腦設置可辨識身分之登入通行碼,並視業務及重要性,考量其他輔助安全措施。
6.個人資料輸入、輸出、存取、更新、銷毀或分享等處理行為,應釐定使用範圍及調閱或存取權限。
7.本校各單位如遇有個人資料檔案發生遭人惡意破壞、毀損或作業不慎等安全事件,應進行緊急因應措施。
8.本校係以嚴密之措施、政策保護當事人之個人資料,包括本校之所有教職員工生,均受有完整之個資法及隱私權保護之教育訓練。倘有洩露個資之情事者,將依法追究其民事、刑事及行政責任。
9.本校之委外廠商或合作廠商與本校業務合作時,均應簽訂保密契約,使其充分瞭解個人資料保護之重要性及洩露個資之法律責任。倘有違反保密義務之情事者,將依法追究其民事及刑事責任。
六、利害關係人之參與及期許
本校個人資料保護及管理決議事項應納入資訊安全暨個人資料保護推動委員會報告,涉及重大決議之會議紀錄應提報主管機關(教育部)及利害關係人(如企業雇主、畢業校友、學生家長、本校教職 員工生及其他與本校相關人士等),如有任何回饋事項,將列入下次推動委員會議之討論議題。
七、個人資料保護政策之修正
1.本校之個人資料保護管理政策,每年定期或因時勢變遷或法令修正等事由,予以適當修訂,經個人資料保護推動委員會討論通過後,陳請校長核可後公布實施,修正時亦同。
2.本政策公告實施後,需以適當方式公告全體人員周知,以落實執行運作。