人力供应业个人资料档案安全维护计画及处理办法 (民国111年)

人力供应业个人资料档案安全维护计画及处理办法 民国111年3月9日 制定机关：中华民国劳动部 2022年3月9日

中华民国111年3月9日劳动部劳动关2字第1110135578号令订定发布全文26条；并自一百十一年六月一日施行

第一章　总则　

第1条

本办法依个人资料保护法（以下简称本法）第二十七条第三项规定订定之。

第2条

本办法适用对象，为行业统计分类规定之人力供应业。

第3条

人力供应业者为落实个人资料档案之安全维护及管理，应订定个人资料档案安全维护计画（以下简称本计画）。

本计画内容，应包括下列事项：

一、个人资料保护规划。

二、个人资料管理程序。

三、个人资料管理措施。

四、业务终止后个人资料处理方法。

五、纪录机制。

人力供应业者订定前项计画时，其内容应具体明确，并定期检视及配合相关法令修正本计画。

第二章　个人资料保护规划

第4条

人力供应业者就个人资料档案安全维护管理，应指定专人或建立专责组织负责，并配置相当资源。

前项专人或专责组织之任务如下：

一、规划、订定、修正及执行本计画。

二、订定个人资料保护管理原则，将其所搜集、处理及利用个人资料之依据、特定目的及其他相关保护事项公告，使其所属人员了解。

第5条

人力供应业者订定前条第二项第二款之个人资料保护管理原则，应包括下列事项：

一、个人资料保护相关法令规定之遵守。

二、于特定目的范围内，搜集、处理及利用个人资料之合理安全方法。

三、保护所搜集、处理、利用之个人资料档案之合理安全水准技术。

四、供当事人行使个人资料之相关权利、提出相关申诉及谘询之联络窗口。

五、处理个人资料被窃取、窜改、毁损、灭失或泄漏等事故之紧急应变程序。

六、委托搜集、处理及利用个人资料者，监督受托者之机制。

七、确保个人资料档案之安全，维持运作本计画之机制。

第6条

人力供应业者应依据个人资料保护相关法令，定期清查所保有之个人资料，纳入本计画之范围及建立档案，并随时确认法令有无变动。

第7条

人力供应业者应依据前条所界定之范围，分析搜集、处理及利用过程中可能产生之风险，并依据分析结果，订定适当管控措施。

第8条

人力供应业者为因应所保有之个人资料被窃取、窜改、毁损、灭失或泄漏等事故，应建立下列机制：

一、采取适当应变措施，以控制事故对当事人之损害。

二、查明事故状况，并以适当方式通知当事人相关事故事实、因应措施及谘询服务专线等。

三、检讨预防机制，避免类似事故再次发生。

人力供应业者发现前项事故时，应于七十二小时内填具通报纪录表（如附表），通报所在地之直辖市、县（市）政府，并副知中央目的事业主管机关；中央目的事业主管机关或直辖市、县（市）政府接获通报后，得依本法第二十二条至第二十五条规定所赋予之职权，为适当之监督管理措施。

第9条

人力供应业者应定期对所属人员施以基础认知宣导或专业教育训练，使其了解个人资料保护相关法令规定、责任范围、管理措施或方法。

第三章　个人资料管理程序

第10条

人力供应业者就本法第六条第一项所定之个人资料，应于搜集、处理或利用前，确认符合相关法令规定。

第11条

人力供应业者为履行本法第八条及第九条规定之告知义务，应建立下列作业程序：

一、依据搜集资料情况，采取适当之告知方式。

二、确认符合免告知当事人之事由。

第12条

人力供应业者对个人资料之搜集、处理或利用，除本法第六条第一项所定之资料外，应建立下列作业程序：

一、确认搜集、处理个人资料符合特定目的及法定要件。

二、确认利用个人资料符合特定目的必要范围；于特定目的外利用个人资料时，应检视是否具备法定特定目的外之利用要件。

第13条

人力供应业者委托他人搜集、处理或利用个人资料之全部或一部时，应对受托者建立下列监督作业程序：

一、确认所委托搜集、处理或利用之个人资料之范围、类别、特定目的及期间。

二、确认受托者采取必要安全措施。

三、有复委托者，确认复委托之对象。

四、受托者或其受雇人违反个人资料保护法令或委托契约条款时，要求受托者向委托人通知相关事项，及采行补救措施。

五、委托人对受托者有保留指示者，其保留指示之事项。

六、委托关系终止或解除时，要求受托者返还个人资料之载体，及销毁或删除因委托事项储存而持有之个人资料。

人力供应业者应定期确认受托者执行前项要求事项之情况，并将确认结果记录之。

第14条

人力供应业者利用个人资料行销时，应建立下列作业程序：

一、首次行销时，应提供当事人表示拒绝接受行销之方式，并支付所需费用。

二、当事人表示拒绝接受行销时，立即停止利用其个人资料行销，并通知所属人员。

第15条

人力供应业者进行个人资料国际传输前，应检视有无中央目的事业主管机关依本法第二十一条规定所为之限制，并告知当事人其个人资料所欲国际传输之区域。

前项个人资料国际传输，人力供应业者应对资料接收方为下列事项之监督：

一、预定处理或利用个人资料之范围、类别、特定目的、期间、地区、对象及方式。

二、当事人行使本法第三条所定权利之相关事项。

第16条

当事人就其个人资料行使本法第三条所定之权利者，人力供应业者应建立下列作业程序：

一、确认当事人为个人资料之本人。

二、提供当事人行使权利之方式，并依本法第十三条所定处理期限办理。

三、确认有无本法第十条及第十一条得拒绝当事人行使权利之事由；拒绝时，并附理由通知当事人。

四、告知得收取之费用标准。

第17条

人力供应业者为维护其保有个人资料之正确性，应建立下列作业程序：

一、检视个人资料于搜集、处理或利用过程，有无错误。

二、定期检查资料，发现错误者，适时更正或补充。未为更正或补充者，于更正或补充后，通知曾提供利用之对象。

三、有争议者，依本法第十一条第二项规定就争议资料之处理或利用，建立相关作业程序。

第18条

人力供应业者，应定期确认所保有个人资料之特定目的有无消失或期限届满。

个人资料之特定目的消失或期限届满时，应依本法第十一条第三项规定办理。

第四章　个人资料管理措施

第19条

人力供应业者就人员管理，应采取下列措施：

一、确认搜集、处理及利用个人资料之各相关业务流程之负责人员。

二、依据作业之需要，建立管理机制，设定所属人员不同权限，并定期确认权限内容之适当及必要性。

三、与所属人员约定保密义务。

四、所属人员离职时取消其识别码，并收缴其通行证（卡）及相关证件。

五、所属人员持有个人资料者，于其离职时，应要求其返还个人资料之载体，并销毁或删除因执行业务储存而持有之个人资料。

第20条

人力供应业者搜集、处理或利用个人资料，就资料安全管理，应采取下列措施：

一、订定作业注意事项。

二、运用电脑或自动化机器相关设备，订定使用可携式设备或储存媒介物之规范。

三、保有之个人资料内容，有加密或遮蔽之必要时，采取适当之加密或遮蔽机制。

四、传输个人资料时，因应不同之传输方式，有加密必要时，采取适当加密机制，并确认资料收受者之正确性。

五、依据保有资料之重要性，评估有备份必要时，予以备份，并比照原件加密。储存备份资料之媒介物，以适当方式保管，且定期进行备份资料之还原测试，以确保有效性。

六、储存个人资料之媒介物于报废或转作其他用途时，以物理或其他方式确实破坏或删除媒介物中所储存之资料。

七、妥善保存管理机制及加密机制中所运用之密码。

第21条

人力供应业者就设备安全管理，应采取下列措施：

一、依据作业内容不同，实施必要之进出管制方式。

二、妥善保管个人资料之储存媒介物。

三、针对不同作业环境，加强天然灾害及其他意外灾害之防护，并建置必要之防灾设备。

第22条

人力供应业者就技术管理，应采取下列措施：

一、于电脑、自动化处理设备或系统上设定认证机制，对有存取个人资料权限之人员进行识别及控管。

二、认证机制使用之帐号及密码，具备一定之复杂度，并定期更换密码。

三、于电脑、自动化处理设备或系统上设定警示与相关反应机制，以对不正常之存取进行适当之反应及处理。

四、个人资料存取权限之数量及范围，依作业必要予以设定，且不得共用存取权限。

五、采用防火墙或入侵侦测等设备，避免储存个人资料之系统遭受无权限之存取。

六、使用能存取个人资料之应用程式时，确认使用者具备使用权限。

七、定期测试权限认证机制之有效性。

八、定期检视个人资料之存取权限设定。

九、于处理个人资料之电脑系统中安装防毒、防骇软体，并定期更新病毒码。

十、对于电脑作业系统及相关应用程式之漏洞，定期安装修补程式。

十一、对于具备存取权限之电脑或自动化处理设备，不得安装档案分享软体。

十二、测试处理个人资料之资讯系统时，不使用真实个人资料，有使用真实个人资料之情形时，明确规定使用程序。

十三、处理个人资料之资讯系统有变更时，确认其安全性并未降低。

十四、定期检查处理个人资料资讯系统之使用状况，及个人资料存取情形。

第五章　业务终止后个人资料处理方法

第23条

人力供应业者业务终止后之个人资料处理，应采取下列措施：

一、删除或销毁储存个人资料之媒介物中所储存之资料，记录并留存删除或销毁之方法、时间、地点及证明删除或销毁之方式。

二、受移转之对象得合法保有该项个人资料，记录并留存移转原因、方法、时间及地点。

前项纪录、轨迹资料及相关证据，应保存五年。

第六章　纪录机制

第24条

人力供应业者执行本计画各项程序及措施，应保存下列纪录五年：

一、因应事故发生所采取之行为。

二、受托者执行委托人要求之事项。

三、提供当事人行使之权利。

四、个人资料之维护及修正。

五、所属人员权限之异动。

六、所属人员违反权限之行为。

七、备份及还原之测试。

八、个人资料之交付及传输。

九、个人资料之删除、销毁或移转。

十、存取个人资料者之资讯。

十一、定期检查处理个人资料之资讯。

十二、教育训练。

十三、计画稽核及改善措施之执行。

第七章　附则

第25条

人力供应业者应定期检查本计画执行情形，并建立未落实执行之改善措施。

第26条

本办法自中华民国一百十一年六月一日施行。