|
一、臺東縣稅務局(以下簡稱本局)為配合個人資料保護法(以下簡稱本法)之實施,落實本局個人資料保護及管理, 特設置本局個人資料保護管理執行小組(以下簡稱本小組),並訂定本要點。
二、本小組之任務如下:
(一)個人資料保護政策之擬議。
(二)個人資料管理制度之推展。
(三)個人資料隱私風險之評估及管理。
(四)員工之個人資料保護意識提升及教育訓練計畫之擬議。
(五)個人資料管理制度基礎設施之評估。
(六)個人資料管理制度適法性與合宜性之檢視、審議及評估。
(七)其他個人資料保護、管理之規劃及執行事項。
三、本小組委員置召集人一人,由本局副局長兼任之、副召集人一人,由秘書兼任之;其餘委員由各科室主管、 審核員兼任。
本小組幕僚工作由服務企劃科研考業務辦理;為強化幕僚功能,協助辦理幕僚工作,並得邀請各科室人員參與幕僚作業。
四、本小組會議得視業務推動之需要,不定期召開,由召集人主持;召集人因故不能主持會議時,得由副召集人或指定委員代理之。
本小組會議開會時,得邀請有關業務科室、所屬承辦人員出(列)席。
五、本要點所稱個人資料,係指本法第二條第一款所定之資料。
六、本要點所稱個人資料之類別,指依本法第五十三條規定,由法務部會同中央目的事業主管機關指定之。
七、各科室蒐集、處理或利用個人資料之特定目的,以本法第十七條規定以適當方式公開者為限。有變更者,亦同。
八、個人資料之蒐集、處理或利用,應確實依本法第五條、第十五條、第十六條及稅捐稽徵法第三十三條規定辦理。
前項規定遇有疑義者,得提請本小組研議解決。
九、各科室主管擔任個人資料保護管理專責人員,辦理科室內之下列事項:
(一)依本法第十條及第十一條第一項至第四項所定請求事項之考核。
(二)依本法第十一條第五項及第十二條所定通知事項之考核。
(三)依本法第十七條所定公開或供公眾查閱之事項。
(四)依本法第十八條所定個人資料檔案安全維護。
(五)個人資料保護法令之諮詢。
(六)個人資料保護事項之協調聯繫。
(七)員工個人資料保護意識之提升及訓練。
(八)個人資料損害之預防及危機處理應變之通報。
(九)自動化方式檢索個人資料安全事件之通報。
十、本局個人資料保護管理聯絡窗口,由資訊科兼辦,辦理事項如下:
(一)公務機關間個人資料保護業務之協調聯繫及緊急應變通報。
(二)發生重大個人資料外洩事件之聯繫窗口。
(三)其他重大個人資料保護管理事項聯繫處理。
十一、蒐集當事人個人資料時,除符合本法第八條第二項規定免為告知者外,應明確告知當事人下列事項:
(一)機關名稱。
(二)蒐集之目的。
(三)個人資料之類別。
(四)個人資料利用之期間、地區、對象及方式。
(五)當事人依本法第三條規定得行使之權利及方式。
(六)當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
前項各款應告知事項得統一製作定型化表格,載明上述事項並經當事人閱覽後簽名或蓋章為之。
[如附件一]
十二、蒐集非由當事人提供之個人資料時,除符合本法第九條第二項規定免為告知者外,應於處理或利用前,向當事人告知個人資料來源及本法第八條第一項第一款至第五款所列事項。
十三、依本法第十五條第二款及第十六條但書第七款規定經當事人書面同意者,應取得當事人同意書(含電子文件)。
十四、依本法第十五條或第十六條規定對個人資料蒐集、處理及利用時,應依相關作業規範或計畫辦理,並將個人資料之利用歷程確實記錄。
依本法第十六條但書規定對個人資料為特定目的外之利用,應詳為審核並簽奉核定後為之。
對於個人資料之利用不得恣意連結,且不得濫用。
十五、本局保有之個人資料有錯誤或缺漏者,應簽奉核定後或依當事人之請求,更正或補充之,並留存相關紀錄。
因可歸責於本局之事由,未為更正或補充之個人資料,應依本法第十一條第五項規定,於更正或補充後,通知曾 提供利用之對象。
十六、本局保有之個人資料正確性有爭議者,應簽奉核定後或依當事人之請求,停止處理或利用,並確實記錄。但符合 本法第十一條第二項但書情形者,不在此限。
本局保有之個人資料蒐集之特定目的消失或期限屆滿時,應簽奉核定後或依當事人之請求,刪除、停止處理或利 用,並確實記錄。但符合本法第十一條第三項但書情形者,不在此限。
十七、依本法第十一條第四項規定刪除、停止蒐集、處理或利用個人資料者,應主動簽奉核定或依當事人請求後為之, 並確實記錄。
十八、依本法第十二條所定個人資料被竊取、洩漏、竄改或其他侵害情事者,經查明後,應由資料外洩科室以適當方式 儘速將侵害事實及採取之因應措施通知當事人。
十九、當事人依本法第十條或第十一條第一項至第四項規定向本局為請求時,應填具申請書,並檢附證明文件。
前項申請書或證明文件,如有遺漏或欠缺,應通知限期補正。
申請案件有下列情形之一者,應以書面駁回其申請:
(一)申請書或證明文件內容有遺漏或欠缺,經通知限期補正,逾期仍未補正。
(二)有本法第十條但書各款情形之一。
(三)有本法第十一條第二項但書或第三項但書所定情形之一。
(四)與稅捐稽徵法第三十三條及其他相關法令規定不符。
[如附件二]
二十、當事人依本法第十條規定提出之請求,應於十五日內為准駁之決定。
前項准駁決定期間,必要時得予延長,延長期間不得逾十五日,並應將其原因以書面通知申請人。
二十一、當事人依本法第十一條第一項至第四項規定提出之請求,本局應於三十日內為准駁之決定。
前項准駁決定期間,必要時得予延長,延長期間不得逾三十日,並應將其原因以書面通知申請人。
二十二、當事人請求查詢、閱覽或製給個人資料複製本者,應事先提出申請;經本局核准閱覽時,承辦科室應派員在場 陪同之。
二十三、本局保有之個人資料檔案,其性質特殊或法律另有規定不應公開其檔案名稱者,得依政府資訊公開法或相關法 律規定,限制公開或不予提供。
二十四、為防止個人資料被竊取、竄改、毀損、滅失或洩漏,專責人員應依本要點及相關法令規定辦理個人資料檔案安全維護事項。
個人資料檔案,應建立管理制度,分級分類管理,並針對接觸人員建立安全管理規範。
本局所保有之各類個人資料檔案一般性安全管理規範如下:
(一)文書檔案室內之個人資料檔案,應依檔案法暨相關法令規定管理之。
(二)各科室各自保有之個人資料檔案:
1.各類文書應依行政院訂頒之「文書處理手冊」文書保密規定管理之。
2.保管人員應善盡保管責任,以免資料外洩或遺失。
3.欲作廢之個人資料檔案,除撕毀或碎裂外,應集中定期銷毀之。
(三)各科室倉庫內之個人資料檔案,應指定倉庫管制人員,針對人員及資料進出管理之。
(四)個人資料檔案資訊系統,應依本局資訊安全管理系統(ISMS)相關作業規定管理之。
為確保個人資料檔案之安全維護,各科室得視業務屬性,另行自訂管理制度及管理規範。
二十五、為強化個人資料檔案資訊系統之存取安全,防止非法授權存取,維護個人資料之隱私性,應建立個人資料檔案 安全稽核制度,除由各科室內部自行稽核外,另由本局資訊稽核小組定期稽核,遇有不當或非法授權存取資料 檔案時,並將稽核結果提報本小組參酌。
二十六、個人資料檔案發生遭人惡意破壞、作業不慎等危安事件,或有駭客攻擊等非法入侵情事,如屬非資訊面之個人資料外洩事件,發生之科室應進行緊急因應措施,並迅速通報本小組聯絡窗口;如屬資訊面之個人資料外洩事件,除依前揭規定處理外,應依本局資訊安全管理系統相關規定辦理。
前項事件處理完竣後,各科室應將處理情形提報本小組會議。
二十七、各科室個人資料檔案洩漏、被惡意破壞、毀損、竊取、竄改、攻擊、作業不慎之危安及其他侵害情事,應進行緊急因應措施,並迅速通報本小組為必要處置。如屬以自動化機器檢索、整理之個人資料洩漏事件,除依前揭規定處理外,應迅速通報本小組及聯絡窗口。
如發生前項資安事件,應儘速通知當事人。
二十八、個人資料檔案安全維護工作,除依本要點辦理外,並應符合行政院及本局訂定之相關資訊作業安全與機密維護規範。
二十九、本局依本法第四條規定委託蒐集、處理或利用個人資料者,適用本要點。
前項委託,本局應對受託人為適當之監督。
受託人僅得於委託人指示之範圍內,蒐集、處理或利用個人資料。
受託人認為委託人之指示有違反本法或基於本法所發布之命令規定之情事,應立即通知委託人。
|