發文字號:
個人資料保護委員會籌備處 114.10.03 個資籌法字第1140001479號
發文日期:
民國 114 年 10 月 03 日
要 旨:
私立學校教師係基於教育行政目的辦理學生事務,其行為涉及違反個人資 料保護法者,仍應以該私立學校為個人資料保護法之蒐集主體,如違反相 關規定致侵害當事人權利者,並應負損害賠償責任。至於該私立學校之代 表人能否依同法第 50 條受同一額度罰鍰之處罰,須就個案事實審認代表 人有無善盡防止義務而定
主 旨:有關函詢私立學校教師涉違反個人資料保護法之非公務機關裁罰乙案,復
如說明二至四,請查照。
說 明:一、復貴部 114 年 9 月 4 日臺教技(四)字第 1142302036 號函。
二、按私立學校應屬個人資料保護法(下稱本法)第 2 條第 8 款所稱
之非公務機關,其對個人資料之利用,應依本法第 20 條第 1 項規
定辦理。倘非公務機關有違反本法第 20 條第 1 項規定者,依本法
第 47 條第 3 款規定,由中央目的事業主管機關或直轄市、縣(市
)政府處新臺幣(下同)5 萬元以上 50 萬元以下罰鍰,並令限期改
正,屆期未改正者,按次處罰之,合先敘明。本件私立學校教師蒐集
、處理或利用當事人(學生)身心狀況之就診收據及學習窒礙情況等
個人資料,倘係基於教育行政目的辦理學生事務,且基於學校組織成
員角色而非個人目的所為,則仍應以該私立學校為本法之蒐集主體,
如違反相關規定致侵害當事人權利者,並應負損害賠償責任。
三、再按本法第 27 條第 1 項規定:「非公務機關保有個人資料檔案者
,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失
或洩漏。」所稱「適當之安全措施」,依同法施行細則第 12 條規定
,係指非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏
,採取技術上及組織上之措施,包括「個人資料之風險評估及管理機
制」、「事故之預防、通報及應變機制」、「個人資料蒐集、處理及
利用之內部管理程序」、「資料安全管理及人員管理」等事項,並以
與所欲達成之個人資料保護目的間,具有適當比例為原則。倘非公務
機關有違反本法第 27 條第 1 項規定者,得依本法第 48 條第 2
項或第 3 項規定裁處。本案該私立學校有關師生 Line 群組,有無
採行前開適當安全措施,例如是否採行個人資料之內部管理程序、機
制、人員配置、認知宣導、設備安全管理、資料安全稽核機制等措施
,因涉個案事實認定事項,建請就具體事實調查後本於職權審認之。
四、末按本法第 50 條規定:「非公務機關之代表人、管理人或其他有代
表權人,因該非公務機關依前三條規定受罰鍰處罰時,除能證明已盡
防止義務者外,應並受同一額度罰鍰之處罰。」上開規定係因非公務
機關之代表人、管理人或其他有代表權人,未善盡指揮監督職責,其
對於該非公務機關違反本法行為,應視為有未盡防止義務之疏失。是
以,倘認本案私立學校應受本法第 47 條至第 49 條處罰時,該私立
學校之代表人能否依本法第 50 條受同一額度罰鍰之處罰,仍須視前
開非公務機關之代表人、管理人或其他有代表權人有無善盡防止義務
,且監督義務之範圍,並不僅以督導教職員參與個資保護教育訓練,
即為已足。尚須視個案中所採行各項具體措施之內容,綜合判斷是否
達到足以防止個人資料洩漏等事故,及落實所屬人員依法從事個資利
用等之程度,而可認已善盡防止義務,爰建請貴部一併就具體個案事
實調查後審認之。
正 本:教育部