跳到主要內容區

防疫個人資料稽核指引

2022/04/10

第一條 嚴重特殊傳染性肺炎中央流行疫情指揮中心(以下簡稱本中心)為協助各上級機關、中央目的事業主管機關、直轄市、縣(市)政府(以下簡稱主管機關)妥適執行監督所轄公務機關或非公務機關(以下皆簡稱機關)蒐集、處理及利用防疫個資作業,特訂定本指引。
第二條 防疫個人資料:指嚴重特殊傳染性肺炎(COVID-19)期間為防疫需要所蒐集、處理或利用之個人資料,如實聯制措施等所系統所蒐集、處理或利用之個人資料 。
第三條 各持有防疫個人資料之機關應遵循個人資料保護法之規定落實辦理相關義務,並建立自行查核制度。
第四條 主管機關應規劃稽核作業,得指定所屬單位或機關(以下簡稱稽核單位)負責執行稽核作業,或併現行各項稽核作業辦理,審查個資保護運作情形,其稽核重點應包括下列各項目:
  一、 蒐集告知義務:稽核單位應查察機關蒐集民眾個人資料時,是否明確告知民眾蒐集機關之名稱、蒐集之目的、蒐集之個人資料項目、個人資料利用之期間、對象及方式、當事人就 其個人資料得依個人資料保護法規定,向蒐集之機關行使權利以及當事人不同意提供個人資料對其權益之影響等事項。
  二、 個資保存期限:除實聯制資料應參考「COVID-19防疫新生活運動:實聯制措施指引」(下稱實聯制措施指引)辦理外,其餘防疫個人資料應依個人資料保護法或相關法令規定辦理。
  三、 安全防護作業:稽核單位應查察機關確實依個人資料保護法,訂定個人資料安全維護規定,採行適當之技術上或組織上安全措施,指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏,落實資料安全維護義務。機關若以資通系統蒐集、處理或利用個資,並應依資通安全管理法規定,辦理安全性檢測及資安防護作業,依系統防護需求採行對應之控制措施,確保系統安全防護水準。
  四、 銷毀佐證:稽核單位應查察機關刪除作業之相關佐證資料,如簽核文件或刪除紀錄等。
第五條 各持有防疫個人資料之機關應每年自行辦理防疫個人資料稽核作業,並製作包含個資管理制度之執行狀況以及稽核後改善計畫之稽核報告,主管機關應督導所屬及所管機關辦理及改善情形,本中心每年得抽查相關稽核作業。

 

瀏覽數: