個人資料保護法實務入門(上冊)-如何動手開始作
https://docs.google.com/file/d/0B2Nmv0XQZkliMVdOUWo2VGp4M0k/edit?usp=sharing這版變化比較大的地方在個資盤點那一章,加了一些實務的作法,預計開放到2012/12/31,從2013/01/01需要的再請提出Request
不知在這兒提出問題是否適當
我們是公立學校,因需幫學生報名檢定,其中團體報名表中會含有大量個資(檢定單位要求),請問我們該如何防範違反個資法之規定呢?
ps.我擔心的是當團體報名表不小心外流時,當被有心人士撿到此表,一看都是我們學校的學生,若團體訴訟對像一定是本校或教育部,我真的是不知如何舉證不是我們流出的。PDF+浮水印,若有心人士重新手打一份到excel再流出.....
應該分兩個部份:
1.資料蒐集處理利用之法定義務
2.資料蒐集後的保護作業
第一項中, 您應該先check蒐集這些報名資料是否有符合免告知之情況, 如果有, 就不需再行告知作業, 如果沒有, 就要先找出要蒐集之資料類別, 目的, 處理模式, 利用的方式以及期限與地點, 並在進行報名時, 請報名者閱讀後簽名
第二點就麻煩了, 因為尚不知貴單位已經有什麼管制措施(Ex: 有文件保管櫃? 有存取紙本資料之控管機制???), 所以還無法提供具體的建議給您
謝謝您的回應
第一項,因我們是高中職,在教育部所發佈的相關法令中,似乎沒有明定學生於入學時必需提供那些個資給學校,大家基本上入學時所寫的學籍資料表是依據高級中等學校學藉管理「要點」中的表格範例沿用吧,而此僅為要點,但個資法卻是法啊.....
而且今天就算有個法來告訴我們可以取得並利用學生個資,當個資提供給第三方時(利用)一但有外洩情事,我們是否就真的可以不負舉證責任呢?如果要......怎麼舉證我們是無過失呢?
第二項,我學生個資會經正式簽呈告知註冊組,因檢定需要須取得學生個資並提供加密後電子檔給第三方做團體報名依據,而問題就在於一但有人得知密碼後取消保護或以手打重製一份電子檔再流出,我們如何證明不是我們的責任,而是第三方之後所有經手單位的問題?(真的出事後,第三方也可以說是學校方面寄給法人後才由學校自己流出的)
第一點: 如果找不到法源可能免告知,那建議在給學生的報到通知上就直接先依個資法第八條進行告知,並請學生簽名後繳回
再來,新版個資法舉證責任轉移到資料保管的一方,即便是委外處理,委託者與受委託者依個資法的規定,都要負責,所以不是提供給第三方後學校就不用舉證,而學效要負的責任有二:
1.證明資料不是在學校手上留出
2.即便證明是第三方外洩,學校難逃監督不週的責任(個資法規定委託者要對受委託者進監督之責)
要舉證學校無過失(其實很難,因為不是自己保護不週,就是監督不週,學校一定要負其中之一的責任)
所以舉證的方向是:
1.你作了什麼讓資料沒機會從學校流出
2.給第三方使用時,有無合約或文件要求對方要善盡保護個資責任
3.學校有無進行監督的記錄
您的兩個問題其實是同一個
謝謝您的回應
的確,這兩點其實是一個問題,這件事我已請教過教育部中部辦公室及教育部本部了,但都找不到可以提供詢問個資的相關單位,反而是您的回答還比較實務些,等下就換法務部問問看好了(呵...再這樣搞下去我應該很快就會變問題人物,不知會不會被長官關切一下了),扯遠了...
您提的三個方向,在本校的實務面都很難執行
1.本校未對USB port上鎖,教職員電腦TCP/UDP port對外全開(只有一些P2P是封鎖的),換句話說,有心人士可以利用ftp或更甚用teamviewer,showmypc把檔案給傳出去,雖然檔案可上密碼,但當資料是由第三方外洩時,我若是第三方,我會說「學校人員也知道密碼,搞不好是學校自己從USB copy出去的」,當此種情況,我該如何舉證呢?監控所有封包??除了隱私權問題外,不被老師罵死才奇怪....
2.這點我也想過,正式行文給對方,要求盡保護個資責任,但問題....在您提的第三點,也是我第三點的疑問。
3.我要如何監督??監督那些部份??如何落實......哎......
檢查下列這些項目,是否符合個資法以及您合約中之要求
本來這一章過幾天要發表,讓您先睹為快了
委託內容說明
個資範圍
個資類別
特定目的
蒐集作業
處理作業
利用作業
個人資料國際傳輸作業
委託期間
所要求採行之適當安全維護措施
對接觸委託之個人資料者進行必要教育訓練與宣導及人員考核
複委託者告知
個資事件通知及補救
保留指示事項
資料返還與刪除
iThome鐵人賽
看影片追技術