個資籌法字第1140001479號
內容
| 發文單位 | 個人資料保護委員會籌備處 |
|---|---|
| 發文字號 | 個資籌法字第1140001479號 |
| 發文日期 | 114年10月3日 |
| 要旨 | 一、私立學校教師蒐集、處理或利用學生身心狀況之就診收據及學習窒礙情況等個人資料,倘係基於教育行政目的辦理學生事務,且基於學校組織成員角色而非個人目的所為,仍應以該私立學校為個人資料保護法(下稱本法)之蒐集主體,並應採行本法第27條第1項規定之適當安全措施。 二、倘私立學校應受本法第47條至第49條處罰時,其代表人能否依本法第50條受同一額度罰鍰之處罰,仍須視其有無善盡防止義務,且監督義務之範圍,並不僅以督導教職員參與個資保護教育訓練,即為已足;尚須視個案中所採行各項具體措施之內容,綜合判斷是否足以達到足以防止個人資料洩漏等事故,及落實所屬人員依法從事個資利用等之程度,而可認已善盡防止義務。 |
| 主旨 | 有關函詢私立學校教師涉違反個人資料保護法之非公務機關裁罰乙案,復如說明二至四,請查照。 |
| 說明 | 一、復貴部114年9月4日臺教技(四)字第1142302036號函。 二、按私立學校應屬個人資料保護法(下稱本法)第2條第8款所稱之非公務機關,其對個人資料之利用,應依本法第20條第1項規定辦理。倘非公務機關有違反本法第20條第1項規定者,依本法第47條第3款規定,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣(下同)5萬元以上50萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之,合先敘明。本件私立學校教師蒐集、處理或利用當事人(學生)身心狀況之就診收據及學習窒礙情況等個人資料,倘係基於教育行政目的辦理學生事務,且基於學校組織成員角色而非個人目的所為,則仍應以該私立學校為本法之蒐集主體,如違反相關規定致侵害當事人權利者,並應負損害賠償責任。 三、再按本法第27條第1項規定:「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」所稱「適當之安全措施」,依同法施行細則第12條規定,係指非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施,包括「個人資料之風險評估及管理機制」、「事故之預防、通報及應變機制」、「個人資料蒐集、處理及利用之內部管理程序」、「資料安全管理及人員管理」等事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則。倘非公務機關有違反本法第27條第1項規定者,得依本法第48條第2項或第3項規定裁處。本案該私立學校有關師生Line群組,有無採行前開適當安全措施,例如是否採行個人資料之內部管理程序、機制、人員配置、認知宣導、設備安全管理、資料安全稽核機制等措施,因涉個案事實認定事項,建請就具體事實調查後本於職權審認之。四、末按本法第50條規定:「非公務機關之代表人、管理人或其他有代表權人,因該非公務機關依前三條規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。」上開規定係因非公務機關之代表人、管理人或其他有代表權人,未善盡指揮監督職責,其對於該非公務機關違反本法行為,應視為有未盡防止義務之疏失。是以,倘認本案私立學校應受本法第47條至第49條處罰時,該私立學校之代表人能否依本法第50條受同一額度罰鍰之處罰,仍須視前開非公務機關之代表人、管理人或其他有代表權人有無善盡防止義務,且監督義務之範圍,並不僅以督導教職員參與個資保護教育訓練,即為已足。尚須視個案中所採行各項具體措施之內容,綜合判斷是否達到足以防止個人資料洩漏等事故,及落實所屬人員依法從事個資利用等之程度,而可認已善盡防止義務,爰建請貴部一併就具體個案事實調查後審認之。 |
| 正本 | 教育部 |
| 資料來源 | 個人資料保護委員會籌備處 |