一、農業部(以下簡稱本部)為執行個人資料保護法(以下簡稱個資法),
落實個人資料之保護及管理,特訂定本要點。
二、本部設個人資料保護管理執行小組(以下簡稱本小組),其任務如下
:
(一)本部個人資料保護政策之研議。
(二)本部個人資料管理制度之審議、評估及推展。
(三)審核本部個人資料風險分析結果及風險處理計畫。
(四)審核本部個人資料保護教育訓練之規劃及監督執行。
(五)其他本部個人資料保護、管理之規劃及執行事項。
三、本小組置委員十五人至十九人,召集人由本部次長兼任、副召集人由
主任秘書兼任;其餘委員,由部長就本部各單位之主管、副主管或簡
任以上熟悉單位業務之人員派兼之。
前項委員之任期四年,期滿得續派兼之。委員於任期內出缺時,得補
派兼之;其任期至原任期屆滿之日為止。
四、本小組視業務推動之需要,不定期召開會議,由召集人主持;召集人
因故不能主持會議時,由副召集人代理;召集人及副召集人均無法主
持會議時,得由召集人指定委員一人代理之。
本小組開會時,得邀請本部相關單位、所屬機關(構)人員、相關機關
(構)代表或學者專家出(列)席。
五、本小組置執行秘書一人,由資訊司司長兼任,承召集人及副召集人之
命,綜理本小組日常事務。
本小組幕僚工作由資訊司統籌;為強化幕僚功能,並得邀請本部相關
單位人員參與。
六、各單位應就業管個人資料檔案進行風險分析,每年定期將風險分析結
果依資訊司提供之格式填送該司彙整,再由資訊司依風險分析結果擬
訂風險處理計畫送本小組審查。
各單位應落實執行經本小組審查通過之風險處理計畫,並將風險處理
計畫執行結果併前項風險分析結果填送資訊司彙整。
七、本部同仁應依本小組審核通過之教育訓練計畫,每年接受資訊安全及
個人資料保護之教育訓練。
八、各單位應指定個人資料保護專責人員辦理下列事項:
(一)個人資料保護事項之協調聯繫。
(二)個人資料保護之自行查核、損害預防及危機處理應變之通報。
(三)個人資料保護方針及政策之執行。
(四)應依業務需求建置及定期維護保有個人資料檔案清冊,定期提供資
訊司依個資法公布於網站。
(五)其他個人資料保護管理事務之規劃及執行。
九、各單位對於個人資料之利用,不得為資料庫之恣意聯結,且不得濫用
,並應視其情形依下列規定辦理:
(一)依個資法第十五條或第十六條規定蒐集、處理或利用個人資料前,
應詳為審核。
(二)各單位依個資法第十六條但書規定對個人資料為特定目的外之利用
時,應事先簽奉主任秘書以上長官核可,並應將其利用歷程作成紀
錄。
十、個人資料有誤或缺漏時,應由業管單位簽奉核定後更正或補充之,並
以書面通知曾提供利用之對象。
前項業管單位應於簽奉核定更正後,填列個人資料異動處理紀錄表(
如附表一)確實記錄其事由及經過,送資訊司彙整。
十一、各單位為維護業管個人資料之正確,有下列情形之一者,應由業管
單位簽奉核定後,刪除、停止蒐集、處理、利用、更正或補充該個
人資料,並將事由及經過登載於個人資料異動處理紀錄表,送資訊
司彙整:
(一)個人資料正確性有爭議,且無個資法第十一條第二項但書情形。
(二)個人資料蒐集之特定目的消失或期限屆滿,且無個資法第十一條
第三項但書情形。
(三)違反本法規定蒐集、處理或利用個人資料時。
十二、各單位遇有個人資料遭竊取、洩露、竄改、惡意破壞毀損、作業不
慎、駭客攻擊、非法入侵等危害個人資料安全事件,應依下列規定
處理:
(一)立即通知本部資訊司及政風處。
(二)以最速件級別專簽會辦資訊司,經主任秘書以上長官核可後,即
時以書面、電話、傳真、電子文件或其他足以使當事人知悉或可
得知悉之方式,通知個人資料受侵害項目、產生之影響及已採取
之因應措施。
(三)事件發生三十六小時內復原或完成損害管制,並填報「個人資料
安全危害事件通報單」(如附表二)送交資訊司。
(四)事件結案時,應填報「個人資料安全危害事件結案單」(如附表
三)送交資訊司。
前項事件涉及電子資訊處理者,本部資訊司接獲通報後,應交由本
部資通安全處理小組之資安聯絡人員,上網通報至行政院國家資通
安全會報緊急應變中心。
十三、本部及所屬機關(構)於收受其他公務機關(構)、直轄市、縣(市)
政府或警察機關通知(報)其發現或知悉本部所轄管非公務機關有
疑似個人資料外洩案件之情形時,應依行政院及所屬各機關落實個
人資料保護聯繫作業要點規定辦理。
十四、個人資料檔案安全維護工作,除本要點外,並應符合行政院及本部
訂定之相關資訊作業安全及機密維護規範。