臺北市私立開南高級商工職業學校「個人資料檔案安全維護」實施辦法

108715日行政會報通過實施

一、計畫依據:本計畫依據「私立高級中等以下學校及幼兒園個人資料檔案安全維護計畫實施辦法」規定訂定之。

二、計畫目的:為防止個人資料被竊取、竄改、毀損、滅失或洩漏,本校所屬人員應依本計畫辦理個人資料檔案安全維護,與業務終止後個人資料處理事項。

三、計畫成員:

1.總管理人:由校長擔任,負責督導、考核本計畫各項工作。

2.資料管理人:由各處室主任擔任,負責督導處室內個人資料檔案安全維護之執行。

(1)在發生個人資料被竊取、竄改、毀損、滅失或洩漏事件時,迅速處理,以保護當事人之權益。

(2)依據安全維護計畫執行之評核,於進行檢討改進後,將處理方式及結果,向總管理人提出書面報告。

3.執行人員:指本校執行業務之過程,必須接觸個人資料之人員,包括定期或不定期契約人員及派遣員工。

四、個人資料安全管理措施:

1.個人資料泛指姓名、出生年月日、性別、身分證統一編號、婚姻、家庭概況、職業、健康檢查、財產狀況、社會資源概況、聯絡方式、各類成績、學習記錄等,及其他得以證明或直接、間接識別該個人身分之文件資料等。

2.非公務需求不得將載有個人資料之可攜式儲存媒體攜出校園場所。

3.因公務必須上傳個人資料於公部門網路平台,必須加密或隱藏部分個資。

4.個人資料嚴禁在校園網路(網路芳鄰)以共用方式分享。

5.可攜式儲存媒體如為校內共同使用,使用者切記在使用完畢後將所有資料文件移除,以免資料遭他人誤用。

6.業務單位所保有之個人資料檔案經申請授權方可提供申請人員使用,提供方式均以加密方式為之。

7.所保有個人資料之檔案應進行備份,以防止資料受損或中毒,備份資料之保護應比照原件辦理。

8.個人資料存在於紙本者,如要銷毀作廢時,應以碎紙、焚化等方式處理。

9.個人資料儲存於磁碟、磁帶、光碟片、微縮片、積體電路晶片等裝置,如要銷毀或報廢時,應採取消磁、剪斷、敲擊等破壞措施,避免被讀取或還原而洩漏個人資料。

10.學生個人書面資料如需進行核對(如考生報名資料、活動保險名冊等),應由導師或教職員工現場監督,並由學生本人親自核對、確認,嚴禁交由學生幹部逕自傳遞核對,以防竊取、竄改、毀損、滅失或洩漏事件發生

11.委託其他事業執行時,應與受委託事業簽定個人資料保護條款規範與法律責任歸屬

五、人員管理措施:

1.依業務職掌授予所屬人員不同權限的帳號密碼登入電腦系統,以進行個人資料的蒐集、處理、利用。

2.因業務需要而須利用非權限範圍之特定個人資料者,應事前提出申請,經業務主管人員同意後由業務單位依申請範圍提供資料。

3.所屬人員就於本校任職期間因業務所接觸個人資料均負保密義務與責任,人事單位聘任新進教職員時,均須簽屬個人資料檔案安全維護切結書。

4.業務承辦人員調動,必須完成交接業務內個人資料檔案與保密注意事項。

5.承辦教職員離職時取消其帳號權限或密碼,並要求將執行業務所持有之個人資料(包括紙本及儲存裝置)辦理交接,不得攜離使用,並應簽訂保密切結書。

六、設備安全管理措施:

1.保有個人資料存在於紙本者,應儲存於有門鎖管制之特定檔案室()內,僅業務主管及業務相關授權人員有開啟調閱權限。

2.保有個人資料庫之電腦主機應置放於機房,並設門禁管制,僅業務主管及資訊人員得以進入,並裝設監視錄影設備。

3.教職員工專用電腦必須設定登入帳號及螢幕保護程式密碼。

4.教職員工於下班前應關閉電腦電源,並將保有個人資料之儲存裝置放於特定檔案室()保管。

七、業務終止後個人資料處理方法:

1.如業務屬階段性終止,必須將檔案備份保存,作為下階段續辦參考與責任追究之依據,並作為職務交接之列管檔案。

2.進行前項職務交接作業,移交人必須將列管檔案報請資料管理人審查清點。

3.如業務屬永久性終止,個人資料特定目的消失、契約或法令規定期限屆滿等,應加密保存兩年,以備上級機關督察訪視,兩年後所保有之紙本個人資料應以碎紙、委外焚化等方式銷毀紙本,個人資料儲存於磁碟、磁帶、光碟片、微縮片、積體電路晶片等儲存裝置,應以消磁、剪斷、敲擊等破壞措施銷毀。

4.進行前項個人資料銷毀處理前應報請總管理人核准後始得為之,應記載處理之時間、地點,並以照相或錄影方式留存紀錄。

八、本計畫陳請 校長核定後行政會報通過實施,修訂時亦同。