中興國中個人資料保護管理要點

101年10月29日訂定        104年04月13日修訂

壹、依據

一、中華民國101年10月19日，府計資字第1010207890號函辦理。

貳、管理要點

      一、 南投縣立中興國中（以下簡稱本校）為落實本校各單位辦理個人資料保護法（以下簡稱個資法）規定之個人資料管理、維護與執行，特訂定本要點。

      二、 本要點所稱個人資料，係依據個資法第二條第一款所列之用詞定義資料。

      三、 本要點所稱學校校務行政系統之個人資料，係指學生學籍資料、成績、各項申請表件或其他有關學校教職員工生於公務所需或保存之相關資料等。

      四、 本要點所稱行政單位係指於學校內因公務需求而設立之法定編制單位。

      五、 本校各處室組行政單位應指定專人辦理下列事項：

(一)  當事人依個資法第十條及第十一條第一項至第四項所定請求之考核。

(二)  個資法第十一條第五項及第十二條所定通知之考核。

(三)  個資法第十八條所定個人資料檔案安全維護。

(四)   個資法第十七條所定公開或供公眾查閱。

(五)  個人資料保護法令之諮詢。

(六)  個人資料保護事項之協調聯繫。

(七)  單位內職員工個人資料保護意識之提升及訓練。

(八)  單位內個人資料損害預防及危機處理應變之通報。

(九)  本校個人資料保護政策之執行、單位內個人資料保護之自行查核。

前項第一款至第三款由各處室組其所屬專責辦理，第四款由資訊組負責辦理，第五款至第九款由人事室負責辦理。

      六、 本校應設置個人資料保護聯絡窗口，辦理下列事項：

(一)   本校與公務機關間個人資料保護業務之協調聯繫及緊急應變通報。

(二)   非自動化方式檢索、整理之個人資料安全事件之通報。

(三)   重大個人資料外洩事件之民眾聯繫單一窗口。

(四)   本校各處室組之其他重大個人資料保護管理事項聯繫處理。

前項本校學生端個人資料保護聯絡窗口辦理事項，由註冊組兼辦；教職員端個人資料保護聯絡窗口辦理事項，由人事室兼辦。

      七、 本校蒐集、處理或利用個人資料之特定目的，以本校依適當方式公開者為限。有變更者，亦同。

      八、 本校各處室組蒐集、處理或利用當事人個人資料時，應明確告知當事人下列事項。

(一)   機關或單位名稱。

(二)   蒐集之目的。

(三)   個人資料之類別。

(四)   個人資料利用之期間、地區、對象及方式。

(五)  當事人依個資法第三條規定得行使之權利及方式。

(六)  當事人得自由選擇提供個人資料時，不提供對其權益之影響。

有下列情形之一者，得免為前項之告知：

(一)   依法律規定得免告知。

(二)   個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。

(三)   告知將妨害公務機關執行法定職務。

(四)   告知將妨害第三人之重大利益。

(五)   當事人明知應告知之內容。

   九、 本校各處室組蒐集非由當事人提供之個人資料，應於處理或利用前，向當事人告知個人資料來源及前點第一款至第五款所列事項。但符合個資法第九條第二項規定情形之一者，不在此限。前項之告知，得於首次對當事人為利用時併同為之。

   十、 本校各處室組對於個人資料之利用，應於法令職掌必要範圍內為之，並與蒐集之特定目的相符。但有下列情形之一者，並經行政單位簽定中興國中個人資料保密切結書，得為特定目的外之利用：

(一)   有正當理由而僅供學校校務行政需要使用者。

(二)   為維護或防止他人權益之重大危害而有緊急必要者。

(三)   為免除當事人之生命、身體、自由或財產上之急迫危險者。

(四)   當事人(或法定監護人)書面同意者。

(五)    經上級主管機關核准者。

(六)    有利於當事人權益。

十一、 本校保有之個人資料有誤或缺漏時，應主動更正或補充之。因可歸責於本校之事由，為更正或補充之個人資料，應於更正或補充後，通知曾提供利用之對象。

十二、 本校保有之個人資料正確性有爭議者，應主動停止處理或利用該個人資料。但符合因執行職務或業務所必須並註明其爭議或經當事人書面同意者，不在此限。經停止處理或利用之個人資料，保有單位應以書面記錄刪除、停止處理或利用原因及處理情形。

十三、 本校保有個人資料蒐集之特定目的消失或期限屆滿時，應主動刪除、停止處理或利用。但符合因執行職務或業務所必須或經當事人書面同意者，不在此限。個人資料已刪除、停止處理或利用者，各該單位應確實記錄。

十四、 本校遇有個資法第十二條所定個人資料被竊取、洩漏、竄改或其他侵害情事者，經查明後，應由資料外洩單位以適當方式儘速通知當事人。

十五、 當事人依個資法第十條或第十一條第一項至第四項規定向本校為請求時，應檢附相關證明文件。若書件內容，如有遺漏或欠缺，應通知限期補正。

申請案件有下列情形之一者，應以書面駁回其申請：

(一)   申請書件內容有遺漏或欠缺，經通知限期補正，逾期仍未補正。

(二)   有個資法第十條但書各款情形之一。

(三)   有個資法第十一條第二項但書或第三項但書所定情形之一。

(四)   與法令規定不符。

十六、 當事人依個資法第十條規定提出之請求，應於十五日內為准駁之決定，必要時得予延長，延長期間不得逾十五日，並應將其原因以書面通知請求人。當事人閱覽其個人資料，應由承辦單位派員陪同為之。

十七、 當事人請求查詢、閱覽或製給個人資料複製本者，準用「南投縣政府及所屬機關學校提供政府資訊收費標準」收取費用。

十八、 本校保有之個人資料檔案，其性質特殊或法律另有規定不應公開其檔案名稱者，得依政府資訊公開法或其他法律規定，限制公開或不予提供。

十九、 本校各處室組行政單位應依本要點及相關法令辦理個人資料處理作業及保存維護事項，單位應建立內部安全管理考核機制及適當存管地點，以防止個人資料被竊取、竄改、損毀、滅失或洩漏，並接受上級主管機關不定期查核督訪。

二十、 本校各處室組行政單位應建立單位個人資料存取權限，設置適當安全層級之加密處理，加強資料存取控制，並應不定期進行單位內部自我查核及更新。

二十一、 為強化個人資料檔案資訊系統之存取安全，防止非法授權存取，維護個人資料之隱私性，應建立個人資料檔案安全稽核制度。由本校資安稽核小組定期查考。

二十二、 本校各處室組行政單位遇有個人資料檔案發生遭人惡意破壞毀損、作業不慎等危安事件，或有駭客攻擊等非法入侵情事，如屬非自動化方式檢索、整理之個資外洩事件，應進行緊急因應措施，並迅速簽報彙整陳報校長；如屬以自動化方式檢索、整理之個資外洩事件，情節重大者，由資訊組簽奉校長同意後，召開緊急處理會議。並依「南投縣政府資通安全緊急應變計畫暨作業處理程序」迅速通報至縣府資通安全處理小組，並由縣府資安聯絡人上網通報至行政院國家資通安全會報負責通報應變之分組。

二十三、 本要點未規範之處，應以個人資料保護法、南投縣政府個人資料保護管理要點及其他相關法令等規定辦理。

二十四、 本要點經主管會報討論後，經校長核定後公告實施，修正時亦同。