- 業務面 - 個資法中對於個人資料的蒐集、處理和利用,皆有其規範與要求,因此,學校相關行政和業務單位,勢必需要調整現有的作業程序(例如學藉登錄作業、成績公告作業等),以因應個資法中相關的規定。
- 管理面 - 許多學校仍缺乏對於資訊安全的管理要求,並未針對資料的存取進行適當的控管,當然也就沒有建立個人資料的保護政策與相關的作業辦法,因此需要在管理面去加強對於個人資料的保護。
- 法規面 - 雖然在過去已實施的電腦處理個人資料保護法中,學校已是受到法律要求的單位之一,但是在相關違反法規的懲處方面,並沒有明確的行政處罰與刑責的認知,因此關於法規宣導與要求人員遵守個資法方面,也是迫切需要實施的重點。
1. 在蒐集個資時 -
綜合以上所述,在個資法正式實施之前,建議學校單位應盡快著手的事項有:
1. 實施個資教育訓練 - 學校應邀請所有和個資有關的人員,進行個資保護教育訓練,實施的內容包括了個資法的法條內容逐一討論,了解個資蒐集、處理、利用應注意事項,以及個資保護的資安控制措施等,讓大家清楚明白法律的要求,才可準備相關的因應作為。
2. 評估個資技術防護 - 學校應執行一次完整的資安體檢,尤其是個資所在的位置,例如實體環境的文件櫃、檔案室、辦公處所、機房等,還有資訊設備像是資料庫、應用系統、儲存媒體及網路設備等,針對個資的存取、傳輸、儲存、銷毀方式,逐一進行清查確認。
3. 建立個資管理制度 - 若學校已經導入資訊安全管理系統(ISMS),並且已取得ISO 27001或教育部版本的認證,那麼就可以將個資保護納入現行管理制度的範圍,並針對各項需識別的個人資料,增設個人資料檔案清冊,進行個資風險評鑑與處理等。若是沒有導入ISMS的組織,也可以參考BS 10012,規劃建立具有PDCA架構的個人資訊管理系統(PIMS)。
- 是否已依法令規定告知當事人蒐集個資之目的、利用範圍等相關資訊。
- 學校如果需要蒐集特種個資,例如學生的健康檢查報告,是否有引用的法源依據?
- 學校所蒐集之個資內容,應與其使用之目的相關,以避免過度蒐集。
- 學校是否已制訂個資查詢處理流程,以回應當事人對其個人資料的查詢請求。
- 對存放個人資料檔案之主機和相關設備,是否有適當的安全措施,確保資料的正確與完整,以避免受到不當的竄改與洩漏。
- 在個資外洩時,是否能採取適當的方式來通知當事人,以降低後續可能的損害。
- 利用個資之相關事項,是否符合當初的蒐集目的,並在合理的範圍內使用?
- 若利用之目的,與當初蒐集的目的不符,是否已重新取得當事人的書面同意?
- 個人資料若需要作跨國的傳輸,是否已採取適當的保護措施,並要求對方也要盡到個資保護責任?
綜合以上所述,在個資法正式實施之前,建議學校單位應盡快著手的事項有:
1. 實施個資教育訓練 - 學校應邀請所有和個資有關的人員,進行個資保護教育訓練,實施的內容包括了個資法的法條內容逐一討論,了解個資蒐集、處理、利用應注意事項,以及個資保護的資安控制措施等,讓大家清楚明白法律的要求,才可準備相關的因應作為。
2. 評估個資技術防護 - 學校應執行一次完整的資安體檢,尤其是個資所在的位置,例如實體環境的文件櫃、檔案室、辦公處所、機房等,還有資訊設備像是資料庫、應用系統、儲存媒體及網路設備等,針對個資的存取、傳輸、儲存、銷毀方式,逐一進行清查確認。
3. 建立個資管理制度 - 若學校已經導入資訊安全管理系統(ISMS),並且已取得ISO 27001或教育部版本的認證,那麼就可以將個資保護納入現行管理制度的範圍,並針對各項需識別的個人資料,增設個人資料檔案清冊,進行個資風險評鑑與處理等。若是沒有導入ISMS的組織,也可以參考BS 10012,規劃建立具有PDCA架構的個人資訊管理系統(PIMS)。
沒有留言:
張貼留言