學校及幼兒園應訂定應變機制，在發生個人資料被竊取、洩漏、竄改或其
他侵害事故時，迅速處理，以保護當事人之權益。
前項應變機制，應包括下列事項：
一、採取適當之措施，控制事故對當事人造成之損害。
二、查明事故發生原因及損害狀況，並以適當方式通知當事人或其法定代
    理人。
三、研議改進措施，避免事故再度發生。
學校及幼兒園應自第一項事故發現時起七十二小時內，填具個人資料侵害
事故通報與紀錄表（如附件），通報主管機關；通報之主管機關為直轄市
、縣（市）政府者，並應副知教育部，未依時限內通報者，應附理由說明
；並自處理結束之日起一個月內，將處理方式及結果，報主管機關備查。
依規定通報後，主管機關得派員檢查，受檢者不得規避、妨礙或拒絕，主
管機關並得依本法第二十二條至第二十五條規定，為適當之監督管理措施
。

一、修正第一項及第二項，為統一教育部主管之相關辦法用詞，將「事件
    」文字修正為「事故」。
二、修正第三項及增列第四項，說明如下：
    （一）依行政院一百十年三月四日院授發協字第一一０二０００三四
          三號函，一百十年二月三日「行政機關落實個人資料保護執行
          聯繫會議」決議相關事項，及教育部「行政機關落實個資保護
          執行聯繫會議之本部應辦事項」增列通報對象「副知中央主管
          機關」及「未依時限內通報者，應附延遲理由」之相關文字；
          並參酌一百十年七月七日教育部「有關行政機關落實個資保護
          執行聯繫會議決議本部相關辦法修正建議」修正通報時限為「
          七十二小時」，並增列「應通報之內容及後續行政檢查事項」
          。
    （二）第三項，修正個人資料侵害事故之通報時限為七十二小時內，
          並明定應填具個人資料侵害事故通報與紀錄表、通報對象副知
          教育部及未依時限內通報者，應附理由說明。
    （三）第四項，依第三項規定通報後，主管機關得派員進行行政檢查
          ，受檢者不得規避、妨礙或拒絕；主管機關並得依個人資料保
          護法第二十二條至第二十五條規定所賦予之行政檢查相關職權
          ，為適當之監督管理措施。