:::
:::

訊息專區

縣府個資保護要點說明

臺東縣政府及所屬一級機關個人資料保護管理要點

規定

說明

壹、總則

第一章章名

一、臺東縣政府(以下簡稱本府)為落實個人資料之保護及管理,特設置本府個人資料保護管理執行小組(以下簡稱本小組),並訂定本要點。

明定訂定本要點及設置臺東縣政府個人資料保護管理執行小組之目的。

二、本小組之任務如下:

  • (一)本府個人資料保護政策之擬議。
  • (二)本府個人資料管理制度之推展。
  • (三)本府個人資料隱私風險之評估及管理。
  • (四)本府各單位(以下簡稱各單位)專責人員及 與職員工之個人資料保護意識提升及教育 訓練計畫之擬議。
  • 五)本府個人資料管理制度基礎設施之評估。
  • (六)本府個人資料管理制度適法性與合宜性之檢視、審議及評估。
  • (七)其他本府個人資料保護、管理之規劃及執行事項。

明定執行小組之任務。

三、本小組置召集人一人,由本府祕書長兼任之, 委員十五人由各單位指派專人(科長以上)一  人擔任。 本小組幕僚工作由本府法制單位辦理;為強 化幕僚功能,協助辦理幕僚工作,並得邀請本 府各單位人員參與幕僚作業。

鑑於公務機關在個人資料保護及管理上事權統一之重要,爰明定本小組召集人及委員之組成,及幕僚工作之負責單位,以利有效推動個人資料保護相關事務。

四、本小組會議視業務推動之需要,不定期召開, 由召集人主持;召集人因故不能主持會議時, 得指定委員代理之。 本小組會議開會時,得邀請有關業務單位、所 屬機關人員、相關機關代表或學者專家出(列) 席。

明定本小組會議召開之期間、主持人及得邀請出(列)席之人員。

五、各機關(單位)應指定專責人員辦理下列事項:

  • (一)辦理當事人依個人資料保護法(以下簡稱本法)第十條及第十一條第一項至第四項所定請求事項之考核。
  • (二)辦理本法第十一條第五項及第十二通知事項之考核。
  • (三)本法第十七條所定公開或供公眾查閱。
  • (四)本法第十八條所定個人資料檔案安全維護。
  • (五)依第二點第四款所為擬議之執行。
  • (六)個人資料保護法令之諮詢。
  • (七)公務機關間個人資料保護事項之協調聯繫。
  • (八)單位內個人資料損害預防及危機處理應變之通報。
  • (九)本府個人資料保護政策之執行、單位內個人資料保護之自行查核。
  • (十)其他單位內個人資料保護管理之規劃及執行。
  • (十一)專責人員如有異動或連絡資料有誤,應即時通報本府聯絡窗口更正。

為落實個人資料保護法第十七條及第十八條公務機關應公開事項及應指定專人辦理個人資料檔案安全維護等規定,並妥適處理當事人依據本法第十條、第十一條及第十二條所定權利向本府提出之請求,爰規定本府應指定專人,辦理或考核前述相關事項之執行,以確實執行本法相關規定。

六、本府應設置個人資料保護聯絡窗口,辦理下列事項:

  • (一)公務機關間個人資料保護業務之協調聯繫 及緊急應變通報。
  • (二)以非自動化方式檢索、整理之個人資料安 全事件之通報。
  • (三)重大個人資料外洩事件之民眾聯繫單一窗 口。
  • (四)本府個人資料專人名冊之製作及更新。 (五)本府個人資料專責人員與職員工教育訓練 名單及紀錄之彙整。

明定本府應設置個人資料保護聯絡窗口及其辦理事項。

貳、個人資料範圍

第二章章名

七、本府蒐集、處理或利用個人資料之特定目的, 以本府依適當方式公開者為限。有變更者,亦同。

 

明定本府保有個人資料特定目的之項目,將依本法第十七條規定,以適當方式供公眾查閱,並以本府依適當方式公開者為限。其有變更者,亦同。

叁、個人資料之蒐集、處理及利用

第三章章名

八、各單位對於個人資料之蒐集、處理或利用,應 確實依本法第五條規定為之。遇有疑義或內容 複雜涉及數機關,無法解決者,應提請本小組 研議。

本法第五條規定個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。各單位於執行上有疑義或內容複雜涉及數機關無法解決者,應由專人報請本小組研議。

九、各單位蒐集當事人個人資料時,應明確告知當 事人下列事項。但符合本法第八條第二項規定 情形之一者,不在此限:

  • (一)機關或單位名稱。
  • (二)蒐集之目的。
  • (三)個人資料之類別。
  • (四)個人資料利用之期間、地區、對象及方式。
  • (五)當事人依本法第三條規定得行使之權利及 方式。
  • (六)當事人得自由選擇提供個人資料時,不提 供對其權益之影響。

為使當事人知悉其個人資料為本府所蒐集、本府進行蒐集之目的、資料類別、利用相關事項及當事人所得行使之權利等,爰明定除符合本法第八條第二項規定情形外,各單位於向當事人蒐集個人資料時,應明確告知本法第八條第一項所定六款事項。

十、各單位蒐集非由當事人提供之個人資料,應於 處理或利用前,向當事人告知個人資料來源及  前點第一款至第五款所列事項。但符合本法第 九條第二項規定情形之一者,不在此限。 前項之告知,得於首次對當事人為利用時併同 為之。 第一項非由當事人提供之個人資料,於本法修 正施行前即已蒐集者,除有本法第九條第二項 所定免為告知之情形外,應自本法修正施行之 日起一年內完成本法第九條第一項所列事項 之告知。

一、本法第八條要求直接蒐集個人資料時,應進行告知,另針對個人資料之間接蒐集態樣,本法第九條第一項亦要求於處理或利用前,告知當事人資料來源及其相關事項,俾使當事人明瞭其個人資料被蒐集情形,爰於第一項明定蒐集非由當事人提供之個人資料時,應於處理或利用前,向當事人告知個人資料來源及本點第十條第一項(同本法第八條第一項)第一款至第五款所列事項。

二、另依本法第九條第三項規定,針對間接蒐集個人資料之告知,得於首次對當事人為利用時併同為之,爰明定第二項,期能確實執行。

三、又本法第五十四條規定,本法修正施行前非由當事人提供之個人資料,應自本法修正施行之日起一年內完成告知,逾期未告知而處理或利用者,以違反第九條規定論處,爰於第三項明定本部就本法修正前已蒐集、非由當事人提供之個人資料,應自本法修正施行之日起一年內完成本法第九條第一項所列事項之告知。

十一、各單位依本法第十五條第二款及第十六條但 書第七款規定經當事人書面同意者,應取得 當事人同意書。

為符合法第十五條及第十六條對於個人資料蒐集、處理及利用之要件,爰明定應取得當事人同意書。

十二、各單位依本法第十五條或第十六條規定對個 人資料之蒐集、處理、利用時,應詳為審核 並簽奉核定後為之。

各單位依本法第十六條但書規定對個人資 料為特定目的外之利用,應將個人資料之利 用歷程做成紀錄。

對於個人資料之利用,不得為資料庫之恣意 連結,且不得濫用。

一、各單位依本法第十五條或第十六條規定對個人資料為蒐集、處理、利用時,應詳為審核其是否符合法定要件,爰為第一項規定。

二、各單位依本法第十六條但書規定對個人資料為特定目的外之利用,應將個人資料之利用歷程做成紀錄,俾以管理查核,爰明定第二項。

三、總統政見執行追蹤事項之人權政策

(編號286)關於「政府資料庫不得恣意聯結、濫用個人資料、侵害人民隱私」之執行,爰為第三項規定。

十三、本府保有之個人資料有誤或缺漏時,應由資料蒐集單位簽奉核定後,移由資料保有單位 更正或補充之,並留存相關紀錄。

因可歸責於本府之事由,未為更正或補充之 個人資料,應於更正或補充後,由資料蒐集 單位以通知書通知曾提供利用之對象。

一、為維護個人資料之正確,除當事人得請求本府更正或補充外,依本法第十一條規定,公務機關亦負有更正或補充之義務,爰於第一項之規定。

二、為符合本法第十一條第五項規定,於第

三項明定於更正或補充後,應通知曾提供利用之對象。

十四、本府保有之個人資料正確性有爭議者,應由 資料蒐集單位簽奉核定後,移由資料保有單 位停止處理或利用該個人資料。但符合本法 第十一條第二項但書情形者,不在此限。

個人資料已停止處理或利用者,資料保有單 位應確實記錄。

為符合本法第十一條第二項所定公務機關停止處理或利用正確性有爭議之個人資料之規定,爰明定其處理程序。

十五、本府保有個人資料蒐集之特定目的消失或期 限屆滿時,應由資料蒐集單位簽奉核定後, 移由資料保有單位刪除、停止處理或利用。 但符合本法第十一條第三項但書情形者,不 在此限。

個人資料已刪除、停止處理或利用者,各該 單位應確實記錄。

為符合本法第十一條第三項所定公務機關對於個人資料蒐集之特定目的消失或期限屆滿時,除因執行職務所必須或經當事人書面同意者外,應刪除、停止處理或利用該個人資料之規定,爰明定其處理程序。

十六、各單位依本法第十一條第四項規定刪除、停 止蒐集、處理或利用個人資料者,應簽奉核 定後移由資料保有單位為之。

個人資料已刪除、停止蒐集、處理或利用 者,資料保有單位應確實記錄。

為符合本法第十一條第四項所定公務機關如違反本法規定蒐集、處理或利用個人資料者,應刪除、停止蒐集、處理或利用該個人資料之規定,爰明定其處理程序。

十七、本府遇有本法第十二條所定個人資料被竊 取、洩漏、竄改或其他侵害情事者,經查明 後,應由資料外洩單位以適當方式儘速通知 當事人。

為使當事人迅速知曉個人資料遭到竊取、洩漏、竄改或遭其他方式侵害,爰依本法第十二條規定,明定本府應於違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害時,應儘速查明後由資料外洩單位以適當方式通知當事人。

肆、當事人行使權利之處理

第四章章名

十八、當事人依本法第十條或第十一條第一項至第 四項規定向本府為請求時,應檢附相關證明 文件。 前項書件內容,如有遺漏或欠缺,應通知限 期補正。 申請案件有下列情形之一者,應以書面駁回 其申請:

  • (一)申請書件內容有遺漏或欠缺,經通知限 期補正,逾期仍未補正。
  • (二)有本法第十條但書各款情形之一。
  • (三)有本法第十一條第二項但書或第三項但 書所定情形之一。
  • (四)與法令規定不符。

一、依據本法第十條及第十一條第一項至第四項規定,當事人就公務機關蒐集之個人資料,得向公務機關請求答覆查詢、提供閱覽、製給複製本、更正、補充、停止蒐集、處理、利用或刪除。為期明確申請程序,爰於第一項規定當事人向本府行使本法上開規定權利時,應填具申請書,並檢附應備文件為之。

二、當事人之申請書件內容如有遺漏或欠缺時,應先通知限期補正,不宜逕予駁回,爰明定第二項規定。

三、針對當事人所得行使之權利,本法第

十條及第十一條第二項、第三項亦分別定有相關除外規定,爰於第三項規定凡有本法第十條但書各款情形之一或有本法第十一條第二項但書或第三項但書情形者,本府應以書面駁回其申請。此外,當事人申請書件內容有遺漏或欠缺,經通知補正逾期未補正,或有其他與法令規定不符之情形者,亦應駁回當事人之申請。

十九、當事人依本法第十條規定提出之請求,應於 十五日內為准駁之決定。 前項准駁決定期間,必要時得予延長,延長 期間不得逾十五日,並應將其原因以書面通 知請求人。

為明確當事人依本法第十條規定,針對本府蒐集之個人資料所提出之請求查詢、提供閱覽或製給複製本之處理時程,爰依本法第十三條第一項前段規定,於第一項規定凡受理當事人依本法第十條規定提出之請求時,由各承辦單位簽報單位主管,並於十五日內為准駁之決定。另依本法第十三條第一項後段規定,於第二項明定得予延長准駁期間及應將原因通知請求人之規定。

二十、當事人請求閱覽或製給個人資料複製本者, 適用「臺東縣政府及所屬機關提供政府資訊 收費標準或檔案閱覽抄錄複製收費標準」收 取費用。 當事人閱覽其個人資料時,應由承辦單位派 員陪同為之,除本法另有規定外依「臺東縣 政府資料卷宗申請閱覽抄錄複製注意事項 及臺東縣政府受理民眾申請閱覽抄錄複製 資料卷宗標準作業程序」辦理。

一、對於當事人查詢或閱覽個人資料或製給個人資料複製本之請求,依本法第十四條規定得酌收必要成本費用,爰予明定。

二、為確保本府保有個人資料之安全與完整性,爰於第三項規定當事人應由承辦單位派員陪同,始得閱覽其個人資料,並依「臺東縣政府資料卷宗申請閱覽抄錄複製注意事項」辦理。

二十一、當事人依本法第十一條第一項至第四項規 定提出之請求,應於三十日內為准駁之決 定。 前項准駁決定期間,必要時得予延長,延 長期間不得逾三十日,並應將其原因以書 面通知請求人。

一、為明確當事人依本法第十一條第一項至第四項規定,向本府提出之請求更正、補充、停止處理、停止利用或刪除個人資料之處理時程,爰依本法第十三條第二項前段規定,於第一項明定受理當事人依本法第十一條第一項至第四項規定提出之請求時,應於三十日內為准駁之決定。

二、另依本法第十三條第二項後段規定,於第二項明定得予延長准駁期間及應將原因通知請求人之規定。

二十二、本府保有之個人資料檔案之公開,仍適用 政府資訊公開法或其他法律規定。

考量本府保有之個人資料檔案,可能屬於政府資訊公開法第十八條第一項第一款至第九款或依其他法律規定應限制公開或不予提供之資訊,爰明定個人資料檔案之公開,仍適用政府資訊公開法或相關法律規定。

伍、個人資料檔案安全維護

第五章章名

二十三、為防止個人資料被竊取、竄改、毀損、滅 失或洩漏,各單位指定之專責人員,應依 本要點及相關法令規定辦理個人資料檔 案安全維護事項。

為符合本法第十八條規定之要求,爰明定本府各單位之個人資料檔案安全維護人員,應依本要點及相關法令規定,辦理個人資料檔案安全維護事項。

二十四、個人資料檔案應建立管理制度,分級分類 管理,並針對接觸人員建立安全管理規 範。

為強化個人資料檔案之管理,本府應針對保有之個人資料檔案,建立分級管理制度,並應參考「法務部及所屬機關人員資訊安全管理規範」(民國九十六年三月十三日發布,九十九年二月四日修正)等相關規定,針對可能接觸個人資料檔案之人員,建立人員安全管理規範。

二十五、為強化非自動化方式檢索、整理之個人資 料檔案之維護管理,準用「臺東縣政府及 所屬機關公務機密維護檢查實施要點」, 由檢查人員定期檢查。 為資訊系統之存取安全,防止非法授權存 取,維護個人資料之隱私性,應建立個人 資料檔案安全稽核制度,由資安稽核人員 定期查考。 第二項個人資料檔案安全稽核之運作組 織、稽核頻率及稽核所應注意之相關事 項,準用「臺東縣政府及所屬機關學校資 訊使用管理稽核作業規定」辦理之。

一、為個人資料檔案如屬以非自動化方式檢索、整理之個人資料,其維護查考宜準用本府「臺東縣政府及所屬機關公務機密維護檢查實施要點」,由檢查人員定期檢查。

二、本府現行依「臺東縣政府及所屬機關學校資訊使用管理稽核作業規定」由資安稽核人員來辦理資安稽核有關之業務,且因本府政風處負責公務機密檢查業務(含個資洩密事件),本府資安稽核之成員亦由政風處主導使用稽核業務,而本府行政處係主責個人資料保護有關之業務,建議本府日後辦理資訊安全內、外部稽核作業及第一項檢查作業時,將邀請行政處指派人員擔任查核成員,屆時與政風處共同查核有關個人資料保護有關之事項。

三、為確保個人資料安全無虞,本府應建立個人資料檔案安全稽核制度。為明確稽核制度之程序與運作,期準用「臺東縣政府及所屬機關學校資訊使用管理稽核作業規定」(九十七年五月二十七日修正),辦理相關稽核作業事項。

二十六、各單位遇有個人資料檔案發生遭人惡意破 壞毀損、作業不慎等危安事件,或有駭客 攻擊等非法入侵情事,如屬以非自動化方 式檢索、整理之個人資料外洩事件,應進 行緊急因應措施,並迅速通報至本小組; 如屬以自動化機器檢索、整理之個人資料 外洩事件,應依「法務部及所屬機關資通 安全事件緊急應變計畫」迅速通報至本部 資通安全處理小組之資安聯絡人員上網通 報至行政院國家資通安全會報緊急應變中 心。

鑑於行政院國家資通安全會報針對重大資安事件之處置,訂有「國家資通安全通報應變作業綱要」,本部亦依該綱要,訂有「法務部及所屬機關資通安全事件緊急應變計畫」,爰明定個人資料檔案,發生遭人為惡意破壞毀損、作業不慎等重大內部危安事件,或發生駭客攻擊等非法外力入侵事件,如屬以非自動化方式檢索、整理之個人資料外洩事件,應進行緊急因應措施,並迅速通報至本小組;如屬以自動化機器檢索、整理之個人資料外洩事件,依該前述應變計畫,應進行緊急應變處置並迅速通報至本部資通安全處理小組之資安聯絡人員(由本部資訊處指派專人擔任) 上網通報至行政院國家資通安全會報緊急應變中心。

二十七、個人資料檔案安全維護工作,除本要點 外,並應符合行政院及本府訂定之相關資 訊作業安全與機密維護規範。

針對個人資料檔案之安全維護,行政院已訂有「行政院及所屬各機關資訊安全管理規範」與「行政院及所屬各機關資訊安全管理要點」,本部亦訂有相關規定,爰規定本部就個人資料檔案之安全維護,除本要點外,尚應符合相關規範。

陸、附則

第六章章名

二十八、本府所屬二級機關學校關於個人資料之保 護管理,適用本要點,其專責人員依第五 點執行應辦事項,由本府主管業務機關  (單位)負責綜理、監督業務之執行。如 認為不適用本要點者,應由本府主管業務  機關(單位)簽請 縣長核可。 

為因應各機關組織結構上差異,及確保個人資料之管理維護,如本府所屬二級機關及學校認為本要點相關規定有無法適用者,宜經縣長核可。

二十九、本府依本法第四條規定委託蒐集、處理或 利用個人資料者,適用本要點。

依本法第四條規定,受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關,爰明定受本府委託蒐集、處理或利用個人資料者,適用本要點規定。

 

power by proeast.info