個人資料保護 案例分享 - ntut.edu.tw ·...

12
個人資料保護 案例分享 講師: NII產業發展協進會 財團法人中華民國國家資訊基本建設產業發展協進會 簡報內容僅供參考,並非任何法律意見,請斟酌使用。 簡報智財權歸屬於NIIEPA。

Transcript of 個人資料保護 案例分享 - ntut.edu.tw ·...

Page 1: 個人資料保護 案例分享 - ntut.edu.tw · (1)乙方基於本合約蒐集、處理或利用個人資料時,應符合個人資料保護法、個人資料保護法施行 細則及主管機關所制訂個人資料保護應遵循之法規命令等相關規定。

個人資料保護

案例分享

講師: NII產業發展協進會

財團法人中華民國國家資訊基本建設產業發展協進會

簡報內容僅供參考,並非任何法律意見,請斟酌使用。

簡報智財權歸屬於NIIEPA。

Page 2: 個人資料保護 案例分享 - ntut.edu.tw · (1)乙方基於本合約蒐集、處理或利用個人資料時,應符合個人資料保護法、個人資料保護法施行 細則及主管機關所制訂個人資料保護應遵循之法規命令等相關規定。

錄碼廠商

作業:提供個人資料(姓名、職稱、員工編號、相片)製作教職員證封面

2作業:封面製作完成寄回學校

3

作業:寫錄資料完成寄回學校

作業:寫錄資料至含個資封面之教職員證

教務處辦理校園學生證

悠遊卡更換業務

人事資訊系統

人事室

辦理企業員工證

悠遊卡更換業務

1

簡報內容僅供參考,並非任何法律意見,請斟酌使用。

簡報智財權歸屬於NIIEPA。

案例說明:學校辦理學生證、員工證與悠遊卡結合。委託悠遊卡公司、錄碼廠商協助辦理。

Page 3: 個人資料保護 案例分享 - ntut.edu.tw · (1)乙方基於本合約蒐集、處理或利用個人資料時,應符合個人資料保護法、個人資料保護法施行 細則及主管機關所制訂個人資料保護應遵循之法規命令等相關規定。

人事資訊系統

人事室

教務處辦理校園學生證

悠遊卡更換業務

辦理企業員工證

悠遊卡更換業務

1

問題1:

辦理學生證/教職員證結合悠遊卡,是否符合原來蒐集、

處理個資目的?

• 個資法問與答

• 【個資法即時通】悠遊卡股份有限公司所發行結合各大專院校學生證功

能之記名式悠遊卡,就蒐集學生個人資料之方式應如何適用個資法?張

貼日期:2013/06/10

• 答:悠遊卡股份有限公司(下稱悠遊卡公司)所發行結合各大專院校學生

證功能之記名式悠遊卡(下稱校園卡),悠遊卡公司與學校間訂有校園

卡之採購契約,該契約之主體為悠遊卡公司與學校,惟該採購契約僅為

提供悠遊卡公司與學生間成立契約關係之平台,學生後續使用校園卡乘

坐大眾運輸交通工具或為其他消費行為,甚或票卡遺失時辦理申請掛失

及返還餘額等事項,均係直接向悠遊卡公司為之,故有關悠遊卡公司若

係依個資法第 19 條第1項第2 款規定而取得學生之個人資料,應係基

於與學生間之電子票證定型化契約,而與學校間之採購契約無涉。另學

校基於教育行政或學生資料管理之特定目的,蒐集、處理或利用學生之

個人資料,包含核發學生證,惟就學生證結合記名式悠遊卡之功能,由

學校將學生之個人資料提供予悠遊卡公司,為特定目的外之利用,應區

分公立學校或私立學校而分別依個資法第16條但書、第20條第1項但書

規定為之。簡報內容僅供參考,並非任何法律意見,請斟酌使用。

簡報智財權歸屬於NIIEPA。

Page 4: 個人資料保護 案例分享 - ntut.edu.tw · (1)乙方基於本合約蒐集、處理或利用個人資料時,應符合個人資料保護法、個人資料保護法施行 細則及主管機關所制訂個人資料保護應遵循之法規命令等相關規定。

個人資料提供悠遊卡股份有限公司處理說明書

• 親愛的家長您好:

為使 貴子弟所持有之數位學生證能享有掛失及返還餘額之服務,請 貴家長詳讀下列說明,並配合於101年

9月25日前填妥「數位學生證個人資料提供處理同意函」,繳回各班導師彙辦。說明如下:

貴子弟就讀學校發送的數位學生證,是臺北市政府教育局與悠遊卡股份有限公司(以下簡稱本公司)合作發行

之「記名式悠遊卡」,兼具識別證與「記名式」電子票證功能,依《電子票證發行管理條例》的規定,可

享有掛失及返還餘額服務。本公司需依《電腦處理個人資料保護法》規定,取得並保管 貴子弟之姓名、出

生年月日、學校名稱、學號及卡片號碼等個人資料,在提供「記名式」電子票證掛失及相關服務之目的下,

進行處理及利用。本公司將善盡善良保管人之義務與責任,妥善保管學生的個人資料,並不會提供其他目

的使用。

如同意提供個人資料,請學生或家長協助於「數位學生證個人資料提供處理同意函」上「同意欄」簽名

(未成年需法定代理人簽名)。日後如不慎遺失卡片,可向就讀學校行政人員辦理掛失作業或登入臺北市

政府教育局校園出入管理系統網站(http://ecard.tp.edu.tw/edutest/login.php )辦理。

如不同意提供個人資料,請於「不同意欄」簽名,本公司將關閉 貴子弟所持有之數位學生證的悠遊卡功能,

該證即不具有悠遊卡功能(不具搭乘捷運、公車等功能)。

敬祝

順心如意,闔家平安

悠遊卡股份有限公司 敬啟簡報內容僅供參考,並非任何法律意見,請斟酌使用。

簡報智財權歸屬於NIIEPA。

Page 5: 個人資料保護 案例分享 - ntut.edu.tw · (1)乙方基於本合約蒐集、處理或利用個人資料時,應符合個人資料保護法、個人資料保護法施行 細則及主管機關所制訂個人資料保護應遵循之法規命令等相關規定。

數位學生證個人資料提供處理同意函

• 本人同意並確認以下事項:

本人所持有之數位學生證乃臺北市政府教育局與悠遊卡股份有限公司合作發行之「記名式悠

遊卡」,兼具識別證與「記名式」電子票證功能,並享有掛失及返還餘額之服務。

本人同意經由臺北市政府教育局將本人姓名、出生年月日、學校名稱、學號及卡片號碼之個

人資料提供給悠遊卡公司作為記名式悠遊卡掛失等相關服務之用,並於簽章欄親筆簽名(本

人如為未成年人,請由監護人簽名)。

本人(學生)_____________________ (簽章)

學 號 _____________________

監 護 人_____________________ (簽章)

年 月 日

• 本人不同意提供個人資料予悠遊卡股份有限公司進行記名式悠遊卡服務,並了解所取得之數

位學生證將無法具備悠遊卡功能(不具搭乘捷運、公車等功能)。

本人(學生)_____________________ (簽章)

學 號 _____________________

監 護 人 _____________________ (簽章)

年 月 日簡報內容僅供參考,並非任何法律意見,請斟酌使用。

簡報智財權歸屬於NIIEPA。

Page 6: 個人資料保護 案例分享 - ntut.edu.tw · (1)乙方基於本合約蒐集、處理或利用個人資料時,應符合個人資料保護法、個人資料保護法施行 細則及主管機關所制訂個人資料保護應遵循之法規命令等相關規定。

人事資訊系統

提供個人資料(姓名、職稱、員工編號、相片)製作教職員證封面

2封面製作完成寄回學校

人事室

教務處辦理校園學生證

悠遊卡更換業務

辦理企業員工證

悠遊卡更換業務

1問題2:

向外傳送含個資檔案,是否專人專送或加密?

問題3:

委外廠商傳送含個資文件,是否有適當安全

維護程序?

問題4:

委外廠商與委外工程人員,是否簽屬完成保

密切結書?

問題5:

與委外廠商間之契約,是否包含個資保密條

款?

簡報內容僅供參考,並非任何法律意見,請斟酌使用。

簡報智財權歸屬於NIIEPA。

Page 7: 個人資料保護 案例分享 - ntut.edu.tw · (1)乙方基於本合約蒐集、處理或利用個人資料時,應符合個人資料保護法、個人資料保護法施行 細則及主管機關所制訂個人資料保護應遵循之法規命令等相關規定。

問題2:

向外傳送含個資檔案,是否專人專送或加密?

問題3:

委外廠商傳送含個資文件,是否有適當安全維護程序?

• 第 12 條

本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全

措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。

前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:

• 一、配置管理之人員及相當資源。

• 二、界定個人資料之範圍。

• 三、個人資料之風險評估及管理機制。

• 四、事故之預防、通報及應變機制。

• 五、個人資料蒐集、處理及利用之內部管理程序。

• 六、資料安全管理及人員管理。

• 七、認知宣導及教育訓練。

• 八、設備安全管理。

• 九、資料安全稽核機制。

• 十、使用紀錄、軌跡資料及證據保存。

• 十一、個人資料安全維護之整體持續改善。簡報內容僅供參考,並非任何法律意見,請斟酌使用。

簡報智財權歸屬於NIIEPA。

Page 8: 個人資料保護 案例分享 - ntut.edu.tw · (1)乙方基於本合約蒐集、處理或利用個人資料時,應符合個人資料保護法、個人資料保護法施行 細則及主管機關所制訂個人資料保護應遵循之法規命令等相關規定。

問題4:

委外廠商與委外工程人員,是否簽屬完成保密切結書?

參考文件:PIMS-D-019_委外廠商保密切結書

悠遊卡公司員工

簡報內容僅供參考,並非任何法律意見,請斟酌使用。

簡報智財權歸屬於NIIEPA。

Page 9: 個人資料保護 案例分享 - ntut.edu.tw · (1)乙方基於本合約蒐集、處理或利用個人資料時,應符合個人資料保護法、個人資料保護法施行 細則及主管機關所制訂個人資料保護應遵循之法規命令等相關規定。

問題5:

與委外廠商間之契約,是否包含個資保密條款? (1/2)

個人資料保護條款

(一)甲方於作業前至少五個工作天提供受檢學生名單個資;乙方需視同「密」件,以維護受檢者隱私。(二) 乙方應遵守下列約定,若有經甲方同意複委託之受託人亦應遵守下列約定:1. 蒐集、處理或利用之遵循(1)乙方基於本合約蒐集、處理或利用個人資料時,應符合個人資料保護法、個人資料保護法施行細則及主管機關所制訂個人資料保護應遵循之法規命令等相關規定。(2)乙方僅得於委託機關甲方指示及履行本合約之必要範圍內,蒐集、處理或利用基於本合約所取得之個人資料(乙方不得利用甲方所提供或因執行本合約所蒐集個人資料及檔案進行行銷或商業推銷等相關活動,或以任何方式或方法交付予履約無關之第三人,亦不得為本合約以外之蒐集、處理或利用)。2. 採取適當安全維護措施乙方及其所屬人員和經甲方同意複委託之受託人在執行業務所必要之範圍內,應依個人資料保護法相關規定暨機關要求之安全維護事項及措施,採行適當之個人資料安全維護措施,以防止個人資料被竊取、竄改、毀損、滅失或洩漏。3. 個人資料之刪除或返還義務(1)甲方於履約中得隨時要求乙方將執行本合約業務而蒐集、處理、利用之個人資料返還甲方或予以刪除,且不得留存任何備份。(2)契約終止或解除時,除雙方另有約定或法律另有規定外,乙方應刪除或銷燬因履行合約而持有之個人資料,且應返還個人資料之載體或移除存取資料之權限;並提供刪除、銷燬或返還個人資料之時間、方式、地點等紀錄,甲方認為有必要時,得實地查訪檢查及確認,乙方應予配合。

Page 10: 個人資料保護 案例分享 - ntut.edu.tw · (1)乙方基於本合約蒐集、處理或利用個人資料時,應符合個人資料保護法、個人資料保護法施行 細則及主管機關所制訂個人資料保護應遵循之法規命令等相關規定。

問題5:

與委外廠商間之契約,是否包含個資保密條款? (2/2)

4. 通知義務(1)受託者乙方認委託機關甲方之指示有違反個人資料保護法、其他個人資料保護法律或其法規命令者,應立即通知委託機關甲方。(2)乙方或其受託者違反個人資料保護法、其他個人資料保護法律或其他法規命令時,應立即通知委託機關甲方並查明該事項及採取因應補救措施。(3)乙方或其受託者有因履行本合約,致個人資料被竊取、洩漏、竄改或其他侵害之情形時,於發現後,應立即通知委託機關甲方並採取因應措施。乙方亦應調查及查明事故經過,並向委託機關甲方報告事故處理狀況,若甲方認為有必要時,得介入進行調查,乙方應予配合。甲乙雙方同意於查明事故經過後,依雙方協商結果,以適當方式通知當事人。因調查事故、採取因應措施或通知當事人而衍生之相關費用,由乙方自行負擔。5. 資料提供與受監督之義務(1)甲方要求乙方提供所蒐集之個人資料檔案、個人資料檔案保有之依據及特定目的、個人資料之類別等相關資訊及其蒐集、處理、利用之相關資料時,乙方不得拒絕。(2)甲方得定期或不定期派員實地訪查或稽核乙方及經甲方同意複委託之受託人就個人資料安全維護措施之實際情形,確認是否符合個人資料保護法相關法令及本合約之約定,乙方及經甲方同意複委託之受託人應提供甲方所有相關資料、協助及約談關係人,並配合甲方之要求。甲方於訪查或查核後,認乙方有缺失,得以書面敘明理由,請乙方限期改善。6. 損害賠償責任乙方、乙方所屬人員及經甲方同意複委託之受託者因執行本合約業務而違反個人資料保護法、個人資料保護法相關法令等規定,致個人資料遭不法蒐集、處理、利用或其他侵害情事,應由乙方負責並承擔一切法律責任(如於訴訟中,乙方應提供甲方必要之協助及相關資料,並應負擔因此

所生之訴訟費用、律師費用及其他相關費用,並負責賠償甲方因此對第三人所負之損害賠償責

任)。

Page 11: 個人資料保護 案例分享 - ntut.edu.tw · (1)乙方基於本合約蒐集、處理或利用個人資料時,應符合個人資料保護法、個人資料保護法施行 細則及主管機關所制訂個人資料保護應遵循之法規命令等相關規定。

個資相關服務委外注意事項

合約:載明委託機關監督事項

• 預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。

• 受託者之適當安全維護措施

• 複委託之受託者

• 受託者違法時的通知義務、事項及補救之措施

• 對受託者之保留指示事項

• 委託關係終止或解除時,個人資料載體之返還或刪除

稽核:定期確認執行狀況並記錄確認結果

簡報內容僅供參考,並非任何法律意見,請斟酌使用簡報。 11

Page 12: 個人資料保護 案例分享 - ntut.edu.tw · (1)乙方基於本合約蒐集、處理或利用個人資料時,應符合個人資料保護法、個人資料保護法施行 細則及主管機關所制訂個人資料保護應遵循之法規命令等相關規定。

感謝聆聽,敬請指教

All Rights Reserved by NII 產業發展協進會