非公務機關保有會(社)員之個人資料達五千筆者,應訂定個人資料檔案
安全維護計畫及會(社)務終止後個人資料處理方法(以下簡稱本計畫及
處理方法),以落實個人資料檔案之安全維護及管理,防止個人資料被竊
取、竄改、毀損、滅失或洩漏。
非公務機關依前項規定訂定本計畫及處理方法時,應視其組織規模、特性
、保有個人資料之性質及數量等事項,參酌第五條至第二十一條規定,訂
定包含下列各款事項之適當安全維護管理措施;必要時,第二款各目事項
得整併之:
一、非公務機關之組織規模及特性。
二、個人資料檔案之安全管理措施:
(一)配置管理之人員及相當資源。
(二)界定蒐集、處理及利用個人資料之範圍。
(三)個人資料之風險評估及管理機制。
(四)事故之預防、通報及應變機制。
(五)個人資料蒐集、處理及利用之內部管理程序。
(六)設備安全管理、資料安全管理及人員管理措施。
(七)認知宣導及教育訓練。
(八)個人資料安全維護稽核機制。
(九)使用紀錄、軌跡資料及證據保存。
(十)個人資料安全維護之整體持續改善。
(十一)會(社)務終止後之個人資料處理方法。
第一項之本計畫及處理方法,應於完成立案或登記之日起六個月內報請主
管機關備查;中央主管機關依前條第二款公告指定前,已完成立案或登記
者,應於公告指定之日起六個月內報請主管機關備查。
非公務機關保有個人資料筆數未達五千筆,因直接或間接蒐集而達五千筆
以上者,應於保有筆數達五千筆之日起六個月內,將本計畫及處理方法報
請主管機關備查。
〔立法理由〕 一、本辦法所稱合作及人民團體類之非公務機關係以會(社)務運作為規
範標的。查我國各級人民團體、合作社及儲蓄互助社,截至一百一十
年六月底,社會團體計六萬七百七十九個、職業團體計五千三百六十
五個、合作社計三千九百一十八個,且每年皆呈現快速成長;另各級
人民團體及合作社多屬非營利性質,其組織人力、財務規模、資訊能
力等面向差異甚大,為建立客觀個人資料規模標準,並衡量非公務機
關之管理能力,避免保有個人資料筆數較少且規模較小者負擔過高的
法令遵循成本,爰參照經濟部製造業及技術服務業個人資料檔案安全
維護管理辦法第二條規定,於第一項明定應訂定個人資料檔案安全維
護計畫及會(社)務終止後個人資料處理方法(以下簡稱本計畫及處
理方法)之非公務機關,其個人資料筆數門檻為五千筆。
二、非公務機關應負舉證責任,並應依人民團體法或合作社法、儲蓄互助
社法相關規定,透過召開定期理事會確認通過入出會(社)之人員,
或於年度會(社)員大會前召開理事會審定名冊或社籍清查時,以確
認最新會(社)員人數,始得判斷是否符合本條個人資料筆數門檻之
規定,併同敘明。
三、以此一筆數門檻檢視,目前符合標準之全國性社會團體有後備軍人、
體育、勞工、醫學等大型社會團體;職業團體則有全國單一公會之工
業團體及執業人數較多之自由職業團體;全國級合作社則有全國級農
業合作社、消費合作社、保險合作社。以上皆屬成立較久、個人資料
筆數較多、組織人力充足、財務規模穩定之非公務機關,應足以負擔
相關法令成本。
四、參照個人資料保護法施行細則第十二條第二項規定意旨,所採行之安
全措施與所欲達成之個人資料保護目的間,具有適當比例為原則。爰
第二項規定非公務機關得參酌其組織規模、特性、保有個人資料之性
質及數量等事項,參考第五條至第第二十二條及個人資料保護法施行
細則第十二條第二項規定,訂定適宜並符合比例原則之安全措施,據
以執行,另保留彈性空間,得依個別情況於必要時整併第二項第二款
各目之相關事項。
五、第三項定明已完成立案或登記之非公務機關,以及第四項規範原未達
個人資料筆數門檻因直接或間接蒐集而達門檻之非公務機關,應訂定
個人資料檔案安全維護計畫及會(社)務終止後個人資料處理方法之
義務、訂定內容及訂定期限。
相關令函 (0) 相關判解 (0) 歷史條次 (0)
|