1 / 46

輔仁大學 個資輔導專案

輔仁大學 個資輔導專案. 中華數位科技 / 益思 科技 法律事務所 企資保護研究小組 個資專案顧問. 專案團隊介紹. 中華數位科技 & 益思科技法律事務所. 法律 專業分析. 參考並落實. 個人資料保護法. 系統最佳化. 最佳實務. ISO 管理制度. 資安 系統整合. 專案目標. 建置 作業 SOP. 教育訓練 & 業務須知. 符合 個資法規範. 遵照:個資法施行細則. Plan 1. 配置管理之人員及相當資源 2. 界定個人資料之範圍 3. 個人資料之風險評估及管理機制 4. 事故之預防、通報及應變機制

hyatt-whitaker
Download Presentation

輔仁大學 個資輔導專案

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 輔仁大學個資輔導專案 中華數位科技 / 益思科技法律事務所 企資保護研究小組 個資專案顧問

  2. 專案團隊介紹 中華數位科技 & 益思科技法律事務所 法律 專業分析 參考並落實 個人資料保護法 系統最佳化 最佳實務 ISO 管理制度 資安 系統整合

  3. 專案目標 • 建置 • 作業SOP 教育訓練& 業務須知 • 符合 • 個資法規範

  4. 遵照:個資法施行細則 Plan 1. 配置管理之人員及相當資源 2. 界定個人資料之範圍 3. 個人資料之風險評估及管理機制 4. 事故之預防、通報及應變機制 5. 個人資料蒐集、處理及利用之內部管理程序 Do 6. 資料安全管理及人員管理 7. 認知宣導及教育訓練 8. 設備安全管理 Plan Do 安全 防護 Action Check Action 11.個人資料安全維護之整體持續改善 Check 9.資料安全稽核機制 10.使用紀錄、軌跡資料及證據保存 • 符合 ISO 管理制度 • 相關作業規範書符合國際標準 • 未來可能結合現有 ISO27001

  5. 執行參考依據:教育部辦理研討會

  6. 執行參考依據:主管機關 • 個資管理自我檢視表

  7. 執行參考依據:主管機關

  8. 整體執行架構 (P-D-C-A) P D D C • 訪談作業 • 個資盤點表 • 業務分析作業 • 作業規範 • 業務規範書 • 相關表單設計 • 安全防護 • 資安風險評估 • 系統管理檢視 • 管理落實 • 教育訓練活動 • 公告與施行 A

  9. 今天作業目標 • 依據 • 個資法主管機關要求 • 教育部個資研討會建議 • 專案需求書 • 辦理事項:管理制度草案(預告) • 個資管理制度 • 個資業務SOP(作業程序) • 個資業務辦理須知

  10. 後續的專案流程:制訂『個資業務』規範書 • 各單位審閱(承辦人) • 提供業務規劃提案 • 參考並提出意見 • 個資管理委員會審閱(長官) • 核定個資業務管理程序 • 核定『個資管理制度』 • 核定後續風險強化做為 • 時程規劃 • 業務單位審閱:6月份 • 個資管理委員會審閱:7月份 • 個資管理制度上線:8月份

  11. 個資管理制度介紹(草案) • 1. 個資管理組織 SESSION

  12. 個資管理組織簡介 管理委員會角色說明 • 個資管理委員會 • (一) 個資安全政策、目標之研議、協調與推動事項。 • (二) 個資安全風險評鑑與風險管理研議與審查事項。 • (三) 個資安全稽核結果審查與改善情形追蹤事項。 • (四) 個資安全管理文件審查、修訂及發佈等事項。 • (五) 個資安全觀念推廣與宣導事項。 • (六) 個資安全責任之分配及協調。 • (七) 其他資訊安全事項之核定。

  13. 個資管理組織簡介 執行分組角色說明(各單位代表、系秘書) • 執行分組 • (一)政策研擬與提案 • (二)辦理推廣訓練 • (三)協助各項個資業務管理之落實 • (1) 協助管理代表(召集人)推行個資管理。 • (2) 依相關法令辦理安全維護及保管事項。 • (3) 傳達管理代表(召集人)之決策,以貫徹個資管理。 • (4) 協調各組使組織相關個人資料保護之運作更落實。 • (5) 彙集、轉陳各組之意見、資料,供管理代表(召集人)作最佳決策。 • (6) 協助追蹤、管理個人資料保護稽核所提相關建議事項。 • (7) 定期蒐集、分析及陳報個資相關通報及執行狀況之報告。 • (四)設置窗口,執行以下通報作業 • (1) 企業間個人資料保護業務之協調聯繫及主管機關緊急應變通報。 • (2) 非資訊面個人資料安全事件之通報。 • (3) 重大個人資料外洩事件之民眾聯繫單一窗口。

  14. 個資管理組織簡介 稽核分組角色說明(需由『個資管理委員會』指定) • 稽核分組 • (一) 研提年度個人資料與隱私保護管理稽核計畫。 • (二) 配合年度稽核計畫執行相關稽核活動並提供改善建議事項予管理委員會。 • (三) 對外查核業務之規劃與執行作業。 • (四) 配合主管機關的行政檢查作業。

  15. 個資管理制度介紹(草案) • 2. 個資管理規章 SESSION

  16. 管理制度介紹 • 制度參考依據 • 國際ISO標準 • 英國BSI 個資管理制度 • 管理制度(文件)管理方式 • 一階文件:個人資料保護管理手冊 • 二階文件:管理程序書 • 三階文件:SOP、說明書、執行須知 • 四階文件: 各式表單 • 後續發展 • 結合輔仁大學ISO27001制度 • 定期召開『個資管理審查委員會』 • 目前規劃:資訊單位為 PM 窗口

  17. 一階文件:個人資料保護管理手冊 • 規範架構 • 組織與分工 • 個資管理原則(個資法的作業原則規範) • 個資作業原則(告知、蒐集、處理、利用、) • 當事人權益請求原則 • 個資保護安全原則(IT 系統 & 作業程序) • 事件應變作業原則 • 稽核與預防作業原則

  18. 二階文件:各式管理程序書 • 程序書包括 • 個人資料管理審查機制(主管會議運作方式) • 個資盤點與風險評估作業 • 個資蒐集、處理、利用程序書 • 個資告知程序書 • 個資文件管理程序書 • 個資業務稽核程序

  19. 四階文件:各式表單 • 表單包括 • 保密切結書 • 個人資料當事人權益申請書 • 個人資料告知事項暨同意書(範本) • 個資查詢或調閱申請單 • 個資處理權限審核單 • 矯正與預防處理 • 紀錄彙整封面(範本) • 紀錄銷燬一覽表

  20. 個資管理制度 – 業務、行政單位審閱 SESSION

  21. 今天座談會聚焦 • 盤點作業 • 蒐集、處理 • 、利用程序 • 各式表單 • 運用

  22. 盤點作業 • 個資類別 • C001 識別個人者(基本個人資料:如姓名、地址、通訊電話、相片) • C002 識別財務者 • C003 :政府資料中之識別者(身份字號、統一編號、保險憑證、護照號碼) • C021 家庭情形 • C051 學校記錄 • C061 受雇情形 • C057 學生記錄 • C088 保險細節 • C111 健康記錄 • 個資資料檔案名稱:(自定名稱) • 業務(個資保有)依據 • 法律規定 • 主管機關函示辦理 • 內部管理規範 • 特定業務目的 • 當事人書面同意 • 業務目的 • 學校教學目的(預警通知,學生異常通知) • 學生內部管理(輔導) • 組織內部管理(人事、會計、訓練、行政) • 舉辦學術研討活動

  23. 盤點作業 • 個資蒐集方式 • 告知(符合學校辦學目的) • 同意(目的外、特殊活動) • 個資處理、利用方式 • 公告(成績單、榜單、會員名單) • 輸出外部單位名稱(主管機關、基金會、其他學校) • 提供查詢及利用(家長、校友、系所、) • 個資利用期間 • 永久 • 活動辦理期間 • 指定:3,6,12個月 • 個資利用地區 • 中華民國 • 國外利用

  24. 個資業務盤點表:所需欄位建議如下 • 個資資料檔案名稱:(自定名稱) • 資訊系統名稱 • 業務(個資保有)依據 • 業務目的 • 個資類別 • 個資利用期間 • 個資利用地區 • 個資蒐集方式 • 個資處理、利用方式 • 承辦人、管理人 • 資料類型(電子、紙本) • 蒐集特種個資情形(如犯罪紀錄、醫療資訊) • 保存方式、地點 • 個資數量

  25. 個資業務申請單

  26. 告知(同意)書範本

  27. 『當事人』(師生、員工)個資權益申請書

  28. 『內部單位』調閱單

  29. 『個資輸出』保密書

  30. 各單位訪談後 – 建議執行方案討論 SESSION

  31. 『學生資料卡』議題討論 個資蒐集欄位的必要性檢視 敏感個資欄位的 業務使用方式 敏感個資蒐集有無必要性

  32. 『學生學籍資料表』參考

  33. 『個人家庭基本資料表』參考

  34. 『學生基本資料表2 』參考(1/2)

  35. 『學生基本資料表2 』參考(2/2)

  36. 『學生資料卡』議題討論(業務調整方式:由『個資委員會』確定)『學生資料卡』議題討論(業務調整方式:由『個資委員會』確定) • 『學生學籍資料表』為一般學生聯繫必要資訊 • 『個人家庭基本資料表』個資內容較為敏感 • 『學生基本資料表2』個資內容較為敏感 個資調閱單 • 『學生學籍資料表』參考無須填單 • 『個人家庭基本資料表』需填單調閱 • 『學生基本資料表2』需填單調閱 建議 執行方式 • 非使用敏感個資:建議刪除 • 各單位業務所需資訊:確認管理單位 業務 調整

  37. 成年學生(20)的個資權益申請:停止『家長』的個資利用(查成績)行為成年學生(20)的個資權益申請:停止『家長』的個資利用(查成績)行為 • 『未成年』(未滿20歲)申請需家長同意 • 『成年』(滿20歲)當事人(學生)可直接申請 一般基本資料的更正, 無需填表單 可能的申請權益:(家長) 成績查詢、到課、學習通知 主要表單:個資權益申請書

  38. 成年學生(20)的個資權益申請: (由『個資委員會』選定方案後落實) 方案一(冷處理) 不提供正式表單 教育訓練時淡化此項議題 每次均個案處理 方案二(積極處理) 通知『家長』因應個資法提供『學生權益申請』 結合『學費註冊單』,需一併繳回『同意書』 每次開學時,接受申請[限定期間] [限定期間]外,申請個案處理

  39. 『停止利用』的學生個資權益申請 • 1. 各系所所舉辦的各類活動(餐會、系所聯誼會、) • 2. 畢業生的各項聯繫行為(輔大校友會、募款活動、傑出校友聯繫) • 3. 校內各項通知(工作機會、實習活動、其他[如高中]校友會) 各項執行原則: 必須與學生服務有關 聯繫方式: 以『匿名通知』方式進行 使用表單:個資權益申請書

  40. 停止利用的學生個資權益申請: (由『個資委員會』核定後落實) 『在學期間』管理原則 辦理目的:強化團體意識,增進師生情感 原則『不提供』此項個資停止利用的申請 均個案處理,並評估『是否侵害學生隱私權』 個案處理後,調整業務辦理方式 『畢業生』管理原則 辦理目的:強化校友凝結,增進輔大團體力量 原則『提供』此項個資停止利用的申請 活動均需由主辦單位,提供『停止利用』方式 接受申請後,類似活動對特定人應停止

  41. 提供:個資安全保護的聲明 『會議』活動通知書、簽到表 『通訊錄』的個資使用聲明 『畢業紀念冊』安全使用聲明 『網路』平台安全使用聲明 『敏感個資業務』流程管理 『個資簽收』表單(演講、禮品)

  42. 其他個案問題:將獨立處理 『原民會』業務適法性問題 『職涯輔導系統』業務適法性問題 推廣部的會員管理議題

  43. 後續專案活動說明 – 請各單位配合辦理 SESSION

  44. 後續的專案流程 • 請持續辦理『個資盤點作業』 • 管理制度核定 • 預計:7月份核定 • 後續公告 • 預計:8月份公告各類表單 • 教育訓練 • 預計8月辦理

  45. 後續的專案流程 • 各單位審閱(承辦人) • 提供業務規劃提案 • 參考並提出意見 • 個資管理委員會審閱(長官) • 核定個資業務管理程序 • 核定『個資管理制度』 • 核定後續風險強化做為 • 時程規劃 • 業務單位審閱:6月份 • 個資管理委員會審閱:7月份 • 個資管理制度上線:8月份

  46. 問題與解答 機密性與智財權宣告:本簡報僅本研討會使用,非經中華數位同意,請勿上網傳佈或揭露予與本活動無關之第三人。 Thanks!

More Related