個資計算與構面分數:
1.數量:每1人算一筆,學生加教師低於一千人,為1分。
2.外部利用:有使用補習班管理軟體,在雲端儲存個資就算外部利用,0.8分。無任何雲端管理軟體,算0分。
3.國際傳輸:有將資料傳輸到國外進行處理者,例如使用國外的管理系統者為1.2分,無傳輸到國外者算0分。
以上三項加總稱為構面分數。
總分4分以內為個資保護等級”普”。
4.1-7為”中”
7.1以上為”高”
*補習班無特種個資,依法也不能蒐集。
1.1 訂定個人資料檔案安全維護計畫:用今年繳交教育局的計畫即可。
2.1 指定專人或建立專責組織負責管理:填入專責人員名稱,並準備一張說明文件
例:
管爺文理短期補習班個人資料處理組織架構
個資管理組織包含成員兩名:個資處理及保護專員,個資處理及保護主任
組織執掌
個資保護及處理專員:負責執行個人資料維護計畫(包含業務終止後之資料留存及處理)。
個資處理及保護主任:負責定期監管及考核個人資料維護計畫之執行成效。
3.2 定期向管理人曁代表人或其他代表權人報告:依項次2.1的職掌圖,製作主管簽核表,內容主要為個資維護計畫執行狀況,用google表單製作即可。
例:
管爺文理短期補習班個人資料維護計畫執行成效定期簽核表
個資依規定儲存及保護:
個資依規定使用:
逾期或失效個資定期銷毀:
個資無非蒐集目的之利用:
主管:
簽核日期:
3.5定期對所屬人員進行宣導或專業教育訓練:填寫今年上線上課程的日期時間即可。
4.1 定期盤點所保有個人資料並確認應遵守之法令:
需製作個資盤點表並定期填寫,建議使用google表單。另因補習班個資來源和種類相當固定,盤點頻率應不需要太高。
政府範例檔案內容因組織和利用方式複雜,表格欄目較多。建議刪除以下欄位
細部作業名稱:我們的資料除行銷外就是通訊使用,沒有必要增加分類。
主管單位:非連鎖補習班通常沒有專責單位更不可能有專責單位之上的主管單位。
對外公告:無對外公告之必要
內部傳送及外部傳送:通常資料不會傳給其他單位,此欄無留存必要。
特種個人資料:我們依法不得蒐集特種個人資料,此欄一定只能填無,所以沒必要留存。
若沒有使用班級管理或其他軟體,也沒有將資料儲存在雲端,”委外”一欄也可以刪除。
個資保存期限一般是到學員輟學(契約終止),所以應該是寫到服務契約終止,而不是以年限計算。
| 主要業務、職掌 | 細部作業名稱 | 個人資料檔案名稱 | 主管單位 | 保有單位 | 檔案形態 | 保有依據 | 是否需告知 | 特定 目的 | 個人資料類別 | 對外公告 | 資料來源 | 內部傳送 | 外部傳送 | 委外 | 個人資料項目 | 特種 個人資料 | 保管方式 | 保存期限 | 銷毀方式 | 備註 | 單位名稱 |
| ○○○業務之規劃、推動與輔導 | ○○○活動報名作業 | ○○○活動報名表 | 經濟部○○司 | ○○科 | ■紙本類 □電子類 □電子檔-可攜式媒體 □系統資料庫 | ○○法、○○要點 | ■Y □N | ㄧ○ㄧ 國家經濟發展業務 | C○○一辨識個人者、C○○三政府資料中之辨識者。 | ■Y □N | 當事人自行提供 | 經濟部○○處 | 內政部○○司 | ○○行銷公司 | ■姓名 □生日 ■身分證號 □護照號碼 □特徵 □指紋 □婚姻 □家庭 □教育 □職業 ■聯絡方式 □財務情況 □社會活動 □其他:_______ | ■無 □病歷 □醫療 □基因 □性生活 □健康檢查 □犯罪前科 | 放置於辦公室檔案櫃並上鎖 | ■法定保存期限:○○法:○年 ■自訂保存期限:檔案保存年限基準表:○年 | 保存期限屆滿後由○○司統一辦理銷毀作業 | N/A | ○○科 |
| 主要業務、職掌 | 個人資料檔案名稱 | 保有單位 | 檔案形態 | 是否需告知 | 特定 目的 | 個人資料類別 | 對外公告 | 資料來源 | 委外 | 個人資料項目 | 保管方式 | 保存期限 | 銷毀方式 | 備註 |
| 行政櫃臺 | 學員資料 | 行政櫃臺 | ■紙本類 □電子類 □電子檔-可攜式媒體 □系統資料庫 | ■Y □N | 通訊聯絡使用 | 一五八 學生(員)(含畢、結業生)資料管理 | ■Y □N | 當事人自行提供 | ○○行銷公司 | ■姓名 □生日 ■身分證號 □護照號碼 □教育 ■聯絡方式 □其他:_______ | 放置於辦公室檔案櫃並上鎖 | ■法定保存期限:○○法:○年 ■自訂保存期限:檔案保存年限基準表:○年 | 保存期限屆滿後由○○司統一辦理銷毀作業 | N/A |
4.2 風險分析及管控措施:主要是評估個資外洩的可能管道、機率和防止措施的有效性。
補習班個資若為紙本形式,上鎖儲存,可以評估為風險值極低。
其他儲存方式,請自行設想外洩可能性、管道和防止措施。
4.4 向當事人蒐集個資,或於利用非由當事人提供之個資前,盡告知義務:填寫蒐集個資時的告知方式
4.5 檢視蒐集、處理個人資料是否符合個人資料保護法第十九條規定之目的及要件:需繕打個資維護計畫的檢核報告,內容可以很簡略,例如
管爺文理短期補習班安全維護計畫執行之檢查報告
“已依照個人資料保護法第十九條第二項及第五項規定,僅蒐集必要且相關個資,蒐集時已確實告知當事人,並依照蒐集時告知之目的使用。日期X年X月X日 主管:管爺”
4.10 對存有個資之系統設備、媒介物等採取安全管理措施:例如紙本通訊錄,放置於上鎖櫥櫃。個人電腦設定密碼,班務管理系統設定登入密碼。要製作”所屬人員保管個人資料之儲存媒介物紀錄”,敘述保存方法、保管人、媒介物種類。
保管及保密義務紀錄:可以簡單書寫個資專責人員應依照個人資料保護法妥善儲存、保管包含個人資料之媒介物,並負有保密義務,不得向無關人士透露個資。
4.11 存有個資之系統設備、媒介物報廢或轉作他用時,採取適當防護措施:要製作附個資銷毀處理作業紀錄,例如X年X月學員資料卡破碎化處理,X年X月刪除檔案、格式化USB隨身碟。
4.12 留存所有個資使用紀錄、機關設備軌跡紀錄、相關證據紀錄:
要準備個資使用軌跡紀錄:即個資使用紀錄,理論上從蒐集、建檔甚至每次打電話傳訊息都算是”使用軌跡”,要寫多詳細並無規定。
系統主機或儲放個人資料之主機查軌跡紀錄檔設定畫面:這是系統存取紀錄,也就是何時存取何種檔案,但是個人電腦應該沒有這種功能,
5.1 使用者身分確認及保護機制:要附上帳號申請及異動紀錄及帳號定期盤點紀錄。對班級管理系統而言,就是帳號設定的紀錄以及帳號列表。
沒有使用管理軟體的理論上應該勾選”無”。
5.4 個人資料檔案及資料庫之存取控制與保護監控措施:有使用管理系統的要勾選下方項目,沒有使用的應該勾選”不適用”。
使用管理系統的需要提供相關的畫面截圖,例如帳號登入畫面(有包含二階段驗證、captcha防機器人、驗證碼欄位)。
5.6 非法或異常使用行為之監控與因應機制:有使用班級管理系統的請業者提供相關log檔(將選項複製給業者看他們就知道了)。沒有管理系統的請勾選”不適用”。
5.7 定期演練及檢討改善:沒有針對個資損毀或入侵進行過演練的請勾”無”,有的請準備演練紀錄(如資料毀損、個資外洩、外部網路入侵、非
法或異常使用行為、系統服務中斷、勒索軟體攻擊、垃圾郵件、釣魚攻擊、社交工程攻擊、自然災害等情況)、演練後檢討紀錄。
6.1 對個資存取媒介物及環境(如機房、雲端),採取環境管理措施:可以直接勾選”無”,因為中高風險才要提供。
7.1 訂有業務終止之個資處置措施:準備個資維護計畫,還有定期向負責人報告之紙本或線上紀錄(簡單說就是計畫執行報告)。理論上處理措施沒有異動就只要準備第一次報告。
7.2 留存相關紀錄:準備本年度業務中止之個資檔案清冊,例如已畢業的班級。檔案清冊可以用4.1項的格式。
8.1 訂定個資洩漏等事故發生或知悉起72 小時內通報流程:準備兩項文件,項次1.1的個資維護計畫,個人資料侵害事故通報表單。
注意!補習班單位與學校不同,目前並未公告專用窗口,個人推測應該是補習班偶發事件通報系統。
8.2訂定對個資洩漏等事故採應變措施以控制損害:文件同項次1.1的個人資料維護計畫,另可下載教育局的SOP範本做為參考。
8.3 訂定查明事故後以適當方式通知當事人之程序並告知已採取因應措施:準備資料同項次1.1,個人資料維護計畫。
8.4 研議預防機制:準備資料同項次1.1,個人資料維護計畫。
9.1 系統弱點掃描:可勾選”無”,若有使用班級管理系統,可由廠商填寫。
9.2 滲透測試:可勾選”無”,若有使用班級管理系統,可由廠商填寫。
9.4 APP檢測:可勾選”無”,若有使用班級管理系統,可由廠商填寫。