﹝1﹞學校、機構應訂定應變機制,在發生個人資料被竊取、洩露、竄改或其他侵害事故時,迅速處理以保護當事人之權益。
﹝2﹞前項應變機制,應包括下列事項:
一、採取適當之措施,控制事故對當事人造成之損害。
二、查明事故發生原因及損害狀況,並以適當方式通知當事人。
三、研議改進措施,避免事故再度發生。
﹝3﹞學校、機構應自第一項事故發現時起七十二小時內,填具個人資料侵害事故通報與紀錄表(如
附件),通報主管機關,未依時限內通報者,應附理由說明;並自處理結束之日起一個月內,將處理方式及結果,報主管機關備查。
﹝4﹞依規定通報後,主管機關得派員檢查,受檢者不得規避、妨礙或拒絕,主管機關並得依本法第
二十二條至第二十五條規定,為適當之監督管理機制。
﹝1﹞學校、機構依本法第
二十條第一項規定利用個人資料為宣傳、推廣或行銷時,應明確告知當事人其所屬學校、機構立案名稱及個人資料來源。
﹝2﹞學校、機構於首次利用個人資料為宣傳、推廣或行銷時,應提供當事人表示拒絕接受宣傳、推廣或行銷之方式,並支付所需費用;當事人表示拒絕宣傳、推廣或行銷後,應立即停止利用其個人資料宣傳、推廣或行銷,並周知所屬人員。