殯葬服務業個人資料檔案安全維護計畫範本
○○ 公司(商業)個人資料檔案安全維護計畫範本
修(訂)定日期:中華民國○○○年○○月○○日
**範本僅為舉例參考,請依公司(商業)內部管理作業程序訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法。
壹、殯葬服務業之組織規模
一、組織型態:股份有限公司、有限公司或獨資(合夥)商業
二、營業項目:殯葬設施經營業或殯葬禮儀服務業
三、資本額:新臺幣○○○萬元整
四、公司(商業)地址:○○縣(市)○○鄉(鎮、市、區)○○路(街)○段○號○○樓
五、代表人(負責人):○○○
六、員工人數:○○人(可記載一定範圍之人數)
貳、個人資料檔案之安全維護管理措施
一、配置管理之人員及相當資源
(一)管理人員:
1、配置人數:○人。(至少應配置ㄧ名管理人員)
2、職責:負責規劃、訂定、修正與執行計畫或業務終止後個人資料處理方法等相關事項。
(二)預算:每ㄧ年新臺幣○○萬元。(包含管理薪資、設備費用等,可記載一定範圍之金額,請依實際狀況填寫)
二、界定蒐集、處理及利用個人資料之範圍
(一)特定目的:人事管理、行銷、契約或類似契約或其他法律關係事務、消費者客戶管理與服務、消費者保護、廣告或商業行為管理。
(二)資料類別:
1、辨識個人者:如客戶及員工之姓名、地址、住家及行動電話號碼、電子郵件及其他任何可辨識資料本人者等資訊。
2、辨識財務者:如信用卡號碼或金融機構帳戶資訊。
3、個人描述:如性別、出生年月日等。
三、風險評估及管理機制
(一)風險評估
1、經由本公司(商業)或各營業處所電腦下載或外部網路入侵而外洩。
2、經由接觸書面契約書類而外洩。
3、本公司(商業)與各營業處所間或依殯葬管理條例第五十六條規定受委託之公司或商業間互為傳輸時外洩。(依實際狀況填列)
4、員工故意竊取、竄改、毁損或洩漏。
(二)管理機制
1、藉由使用者代碼、識別密碼設定及文件妥適保管。
2、定期進行網路資訊安全維護及控管。
3、電磁資料視實際需要以加密方式傳輸。
4、加強對員工之管制及設備之強化管理。
四、事故之預防、通報及應變機制
(一)預防:
1、本公司(商業)員工如因工作執掌而須輸出、輸入個人資料時,均須鍵入其個人之使用者代碼及識別密碼,同時在使用範圍及使用權限內為之。
2、非承辦之人員參閱契約書類時應得公司(商業)負責人或經指定之管理人員之同意。
3、個人資料於本公司(商業)與各營業處所間或受委託之公司或商業間互為傳輸時,加強管控避免外洩。
4、加強員工教育宣導,並嚴加管制。
(二)通報及應變:
1、發現個人資料遭竊取、竄改、毀損、滅失或洩漏即向本公司(商業)負責人或經指定之管理人員通報,並立即查明發生原因及責任歸屬,依實際狀況採取必要措施。
2、對於個人資料遭竊取之客戶,應儘速以適當方式通知使其知悉,並告知本公司(商業)已採取之處理措施及聯絡電話窗口等資訊。
3、針對事故發生原因研議改進措施。
五、個人資料蒐集、處理及利用之內部管理措施
(一)直接向當事人蒐集個人資料時,應明確告知以下事項:
- 公司(商業)名稱。
- 蒐集之目的。
- 個人資料之類別。
- 個人資料利用之期間、地區、對象及方式。
- 當事人得請求閱覽、製給複製本、補充或更正、停止蒐集、處理、利用或刪除其個人資料。
- 當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
(二)所蒐集非由當事人提供之個人資料,應於處理或利用前向當事人告知個人資料來源及前項應告知之事項。
(三)與客戶簽訂之殯葬服務契約(含生前殯葬服務契約)完成履行、解除或終止時,除因執行業務所必須(有約定之保存期限、有理由足認刪除將侵害當事人值得保護之利益、其他不能刪除之正當事由)或經客戶書面同意者,應主動刪除或銷毀,並留存相關紀錄。
(四)利用個人資料為行銷時,當事人表示拒絕行銷後,應立即停止利用其個人資料行銷,並將拒絶情形通報本公司(商業)彙整後周知所屬各部門及員工。
(五)當事人表示拒絕行銷或請求閱覽、製給複製本、補充或更正、停止蒐集、處理、利用或刪除其個人資料時,連絡窗口為:○○○ ;電話為:○○○○○○。並將聯絡窗口及電話等資料,公告於本公司(商業)及各營業處所,如有網站者,並揭露於網頁。如認有拒絕當事人行使上述權利之事由,應附理由通知當事人。
(六)負責保管及處理個人資料檔案之人員,其職務有異動時,應將所保管之儲存媒體及有關資料檔案移交。
(七)本公司(商業)員工如因其工作執掌相關而須輸出、輸入個人資料時,均須鍵入其個人之使用者代碼及識別密碼,同時在使用範圍及使用權限內為之,其中識別密碼並應保密,不得洩漏或與他人共用。
(八)由指定之管理人員定期清查所保有之個人資料是否符合蒐集特定目的,若有非屬特定目的必要範圍之資料或特定目的消失、期限屆滿而無保存必要者,即予刪除、銷毀或其他停止蒐集、處理或利用等適當之處置,並留存相關紀錄。
(九)本公司(商業)依殯葬管理條例第五十六條規定委託代為銷售生前殯葬服務契約、墓基及骨灰(骸)存放單位之公司或商業,為執行業務所蒐集、處理或利用個人資料時,應對受託者為適當之監督並與其明確約定相關監督事項。(依實際狀況填寫)
(十)所蒐集之個人資料如需作特定目的外利用,必須先行檢視是否符合個人資料保護法第二十條第一項但書規定。
六、設備安全管理、資料安全管理及人員管理措施
(ㄧ)設備安全管理
1、建置個人資料之有關電腦、自動化機器相關設備、可攜式設備,資料保有單位應定期保養維護,於保養維護或更新設備時,並應注意資料之備份及相關安全措施。
2、建置個人資料之個人電腦,不得直接作為公眾查詢之前端工具。
3、本公司(商業)之客戶個人資料檔案應定期(例如:每二週)備份。
4、重要個人資料備份應異地存放,並應置有防火設備及保險箱等防護設備,以防止資料滅失或遭竊取。
5、電腦、自動化機器或其他存放媒介物需報廢汰換或轉作其他用途時,本公司(商業)負責人或各營業處所主管應檢視該設備所儲存之個人資料是否確實刪除。
(二)資料安全管理
1、電腦存取個人資料之管控:
(1)個人資料檔案儲存在電腦硬式磁碟機上者,應在個人電腦設置識別密碼、保護程式密碼及相關安全措施。
(2)個人資料檔案使用完畢應即退出,不得任其停留於電腦螢幕上。
(3)定期進行電腦系統防毒、掃毒之必要措施。
(4)重要個人資料應另加設管控密碼,並定期更換密碼,非經陳報本公司(商業)負責人、各營業處所主管或經指定之管理人員核可,並取得密碼者,不得存取。
2、紙本資料之保管:
(1)對於各類契約書件及個人資料表應存放於公文櫃內並上鎖,員工非經本公司(商業)負責人、各營業處所主管或經指定之管理人員同意不得任意複製或影印。
(2)對於記載個人資料之紙本丟棄時,應先以碎紙設備進行處理。
(三)人員管理措施
1、本公司(商業)依業務需求設定所屬人員(例如主管、非主管人員)不同之權限,以控管其個人資料蒐集、處理與利用之情形。
2、本公司(商業)檢視各相關業務之性質,指派人員負責規範個人資料蒐集、處理及利用等流程。
3、本公司(商業)員工應妥善保管個人資料之儲存媒介物,執行業務時依個人資料保護法規定蒐集、處理及利用個人資料。
4、員工離職應立即取消其使用者代碼(帳號)及識別密碼。其所持有之個人資料應辦理交接,不得在外繼續使用,並簽訂保密切結書(如在任職時之相關勞務契約已有所約定時,亦屬之)。
5、本公司(商業)與員工所簽訂之相關勞務契約或承攬契約均列入保密條款及相關之違約罰則,以確保其遵守對於個人資料內容之保密義務(含契約終止後)。
6. 本公司(商業)員工每○天(週、月)應變更識別密碼ㄧ次,並於變更識別密碼後始可繼續使用電腦。
七、認知宣導及教育訓練
(一)本公司(商業)每○年進行個人資料保護法基礎認知宣導及教育訓練至少○次(或每年派遣員工○人參與相關單位辦理進行個人資料保護法基礎教育宣導及數位學習教育訓練至少○小時),使員工知悉應遵守之規定,前述教育宣導及訓練應留存紀錄(例如:簽名冊等文件)。
(二)對於新進人員應特別給予指導,務使其明瞭個人資料保護相關法令規定、責任範圍及應遵守之相關管理措施。
八、資料安全稽核機制
(一)本公司(商業)定期(每二年至少ㄧ次)辦理個人資料檔案安全維護稽核,查察本公司(商業)是否落實本計畫規範事項,針對查察結果不符合事項及潛在不符合之風險,應規劃改善與預防措施,並確保相關措施之執行。執行改善與預防措施時,應依下項事項辦理:
1、確認不符合事項之內容及發生原因。
2、提出改善及預防措施方案。
3、紀錄查察情形及結果。
(二)前項查察情形及結果應作成稽核報告,由本公司(商業)負責人或經指定之管理人員簽名確認,稽核報告至少保存五年。
九、使用記錄、軌跡資料及證據保存
(ㄧ)本公司(商業)建置個人資料之電腦,其個人資料使用查詢紀錄檔,每年定期備份加密,並將該紀錄檔之儲存媒介物保存於適當處所以供檢查。
(二)個人資料使用紀錄以紙本登記,應存放於公文櫃內並上鎖,非經本公司(商業)負責人、各營業處所主管或經指定之管理人員同意,不得任意取出。
(註:本項請依實際情形說明公司(商業)如何保存個人資料相關使用紀錄及自動化機器設備之軌跡資料)
十、個人資料安全維護之整體持續改善
(ㄧ)本公司(商業)將隨時依據計畫執行狀況,技術發展及相關法令修正等事項,檢討本計畫是否合宜,並予必要之修正。
(二)針對個資安全稽核結果有不符合法令之虞者,規劃改善與預防措施。
十一、業務終止後之個人資料處理方法
本公司(商業)業務終止後,所保有之個人資料不得繼續使用,並依實際情形採下列方式處理,並留存相關紀錄至少五年:
(一)銷毀:銷毀之方法、時間、地點及證明銷毀之方式。
(二)移轉:移轉之原因、對象、方法、時間、地點及受移轉對象得保有該項個人資料之合法依據。
(三)其他刪除、停止處理或利用個人資料:刪除、停止處理或利用之方法、時間或地點。
殯葬服務業個人資料檔案安全維護計畫範本之逐點說明
|
名稱
|
說明
|
|
○○公司(商業)個人資料檔案安全維護計畫範本
|
為使直轄市或縣(市)主管機關知悉訂定計畫之公司或商業為何,須冠以各公司(商業)名稱。
|
|
內容
|
說明
|
|
壹、殯葬服務業之組織規模
一、組織型態:股份有限公司、有限公司或獨資(合夥)商業
二、營業項目:殯葬設施經營業或殯葬禮儀服務業
三、資本額:新臺幣○○○萬元整
四、公司(商業)地址:○○縣(市)○○鄉(鎮、市、區)○○路(街)○段○號○○樓
五、代表人(負責人):○○○
六、員工人數:○○人(可記載一定範圍之人數)
|
ㄧ、依據殯葬服務業個人資料檔案安全維護管理辦法(以下稱本辦法)第四條第二項第一款規定,殯葬服務業訂定計畫時,得視其規模、特性、保有個人資料之性質及數量等事項,參酌第六條至第二十條規定,訂定適當之安全維護管理措施。
二、請依實際狀況填寫。
|
|
貳、個人資料檔案之安全維護管理措施
一、配置管理之人員及相當資源
(一)管理人員:
1、配置人數:○人。(至少應配置ㄧ名管理人員)
2、職責:負責規劃、訂定、修正與執行計畫或業務終止後個人資料處理方法等相關事項。
(二)預算:每ㄧ年新臺幣○○萬元。(包含管理薪資、設備費用等,可記載一定範圍之金額,請依實際狀況填寫)
|
ㄧ、依據個人資料保護法(以下稱個資法)施行細則第十二條第二項規定及本辦法第四條第二項第二款第一目規定擬訂。
二、劃底線者為本辦法第六條規定文字,建議納入計畫。
三、相當資源以預算表示,請依實際狀況填寫。
|
|
二、界定蒐集、處理及利用個人資料之範圍
(一)特定目的:人事管理、行銷、契約或類似契約或其他法律關係事務、消費者客戶管理與服務、消費者保護、廣告或商業行為管理。
(二)資料類別:
1、辨識個人者:如客戶及員工之姓名、地址、住家及行動電話號碼、電子郵件及其他任何可辨識資料本人者等資訊。
2、辨識財務者:如信用卡號碼或金融機構帳戶資訊。
3、個人描述:如性別、出生年月日等。
|
ㄧ、依據個資法施行細則第十二條第二項規定及本辦法第四條第二項第二款第二目規定擬訂。
二、依個資法第八條及第十九條規定,非公務機關對個人資料之蒐集或處理,除該法第六條第一項所規定資料外(有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料不得蒐集、處理或利用),應有特定目的,並應明確告知當事人個人資料之類別。
三、另個資法第五十三條規定,本法所定特定目的及個人資料類別,由法務部會同中央目的事業主管機關指定之。查法務部業依上開規定訂定「個資法之特定目的及個人資料的類別」,範本係彙整參考,請依實際狀況填寫。
|
|
三、風險評估及管理機制
(一)風險評估
1、經由本公司(商業)或各營業處所電腦下載或外部網路入侵而外洩。
2、經由接觸書面契約書類而外洩。
3、本公司(商業)與各營業處所間或依殯葬管理條例第五十六條規定受委託之公司或商業間互為傳輸時外洩。(依實際狀況填列)
4、員工故意竊取、竄改、毁損或洩漏。
(二)管理機制
1、藉由使用者代碼、識別密碼設定及文件妥適保管。
2、定期進行網路資訊安全維護及控管。
3、電磁資料視實際需要以加密方式傳輸。
4、加強對員工之管制及設備之強化管理。
|
ㄧ、依據個資法施行細則第十二條第二項規定及本辦法第四條第二項第二款第三目規定擬訂。
二、個人資料發生風險如資料被竊取、竄改、毀損、滅失或洩漏,請依各公司(商業)實際狀況評估風險因子。
三、第二款管理機制應可降低各公司(商業)風險因子發生機率。
|
|
四、事故之預防、通報及應變機制
(一)預防:
1、本公司(商業)員工如因工作執掌而須輸出、輸入個人資料時,均須鍵入其個人之使用者代碼及識別密碼,同時在使用範圍及使用權限內為之。
2、非承辦之人員參閱契約書類時應得公司(商業)負責人或經指定之管理人員之同意。
3、個人資料於本公司(商業)與各營業處所間或受委託之公司或商業間互為傳輸時,加強管控避免外洩。
4、加強員工教育宣導,並嚴加管制。
(二)通報及應變:
1、發現個人資料遭竊取、竄改、毀損、滅失或洩漏即向本公司(商業)負責人或經指定之管理人員通報,並立即查明發生原因及責任歸屬,依實際狀況採取必要措施。
2、對於個人資料遭竊取之客戶,應儘速以適當方式通知使其知悉,並告知本公司(商業)已採取之處理措施及聯絡電話窗口等資訊。
3、針對事故發生原因研議改進措施。
|
ㄧ、依據個資法施行細則第十二條第二項規定及本辦法第四條第二項第二款第四目規定擬訂。
二、範本內容是舉列參考,請依實際狀況填寫。
|
|
五、個人資料蒐集、處理及利用之內部管理措施
(一)直接向當事人蒐集個人資料時,應明確告知以下事項:
- 公司(商業)名稱。
- 蒐集之目的。
- 個人資料之類別。
- 個人資料利用之期間、地區、對象及方式。
- 當事人得請求閱覽、製給複製本、補充或更正、停止蒐集、處理、利用或刪除其個人資料。
- 當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
(二)所蒐集非由當事人提供之個人資料,應於處理或利用前向當事人告知個人資料來源及前項應告知之事項。
(三)與客戶簽訂之殯葬服務契約(含生前殯葬服務契約)完成履行、解除或終止時,除因執行業務所必須(有約定之保存期限、有理由足認刪除將侵害當事人值得保護之利益、其他不能刪除之正當事由)或經客戶書面同意者,應主動刪除或銷毀,並留存相關紀錄。
(四)利用個人資料為行銷時,當事人表示拒絕行銷後,應立即停止利用其個人資料行銷,並將拒絶情形通報本公司(商業)彙整後周知所屬各部門及員工。
(五)當事人表示拒絕行銷或請求閱覽、製給複製本、補充或更正、停止蒐集、處理、利用或刪除其個人資料時,連絡窗口為:○○○ ;電話為:○○○○○○。並將聯絡窗口及電話等資料,公告於本公司(商業)及各營業處所,如有網站者,並揭露於網頁。如認有拒絕當事人行使上述權利之事由,應附理由通知當事人。
(六)負責保管及處理個人資料檔案之人員,其職務有異動時,應將所保管之儲存媒體及有關資料檔案移交。
(七)本公司(商業)員工如因其工作執掌相關而須輸出、輸入個人資料時,均須鍵入其個人之使用者代碼及識別密碼,同時在使用範圍及使用權限內為之,其中識別密碼並應保密,不得洩漏或與他人共用。
(八)由指定之管理人員定期清查所保有之個人資料是否符合蒐集特定目的,若有非屬特定目的必要範圍之資料或特定目的消失、期限屆滿而無保存必要者,即予刪除、銷毀或其他停止蒐集、處理或利用等適當之處置,並留存相關紀錄。
(九)本公司(商業)依殯葬管理條例第五十六條規定委託代為銷售生前殯葬服務契約、墓基及骨灰(骸)存放單位之公司或商業,為執行業務所蒐集、處理或利用個人資料時,應對受託者為適當之監督並與其明確約定相關監督事項。(依實際狀況填寫)
(十)所蒐集之個人資料如需作特定目的外利用,必須先行檢視是否符合個人資料保護法第二十條第一項但書規定。
|
ㄧ、依據個資法施行細則第十二條第二項規定及本辦法第四條第二項第二款第五目規定擬訂。
二、第一款之告知事項屬個資法第八條第一項法定事項(劃底線部分),建議納入計畫規定事項,並勿刪除文字。
三、第二款係依據個資法第九條第一項擬訂,屬法定事項,建議納入計畫規定事項,並勿刪除文字。
四、第三款係依個資法第十一條第三項規定,個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務(個資法施行細則第二十一條)或業務所必須或經當事人書面同意者,不在此限;另後段「留存相關紀錄」係依據本辦法第七條第二款定之,建議保留該段文字。
五、第四款劃底線文字係個資法第二十條第二項規定,建議納入計畫規定事項。
六、第八款劃底線文字係本辦法第七條第二項規定,建議納入計畫規定事項。
七、第九款係依據本辦法第八條規定擬訂,即殯葬服務業有依殯葬管理條例第五十六條規定委託之公司或商業時,應對受託者為適當之監督,並就其蒐集、處理或利用持有個人資料檔案之處置方式,應於委託契約明定之。
八、第十款係依據個資法第二十條第一項但書,有下列情形之ㄧ者,得為特定目的外之利用:
(ㄧ)法律明文規定。
(二)為增進公共利益。
(三)為免除當事人之生命、身體、自由或財產上之危險。
(四)為防止他人權益之重大危害。
(五)公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
(六)經當事人書面同意。
|
|
六、設備安全管理、資料安全管理及人員管理措施
(ㄧ)設備安全管理
1、建置個人資料之有關電腦、自動化機器相關設備、可攜式設備,資料保有單位應定期保養維護,於保養維護或更新設備時,並應注意資料之備份及相關安全措施。
2、建置個人資料之個人電腦,不得直接作為公眾查詢之前端工具。
3、本公司(商業)之客戶個人資料檔案應定期(例如:每二週)備份。
4、重要個人資料備份應異地存放,並應置有防火設備及保險箱等防護設備,以防止資料滅失或遭竊取。
5、電腦、自動化機器或其他存放媒介物需報廢汰換或轉作其他用途時,本公司(商業)負責人或各營業處所主管應檢視該設備所儲存之個人資料是否確實刪除。
(二)資料安全管理
1、電腦存取個人資料之管控:
(1)個人資料檔案儲存在電腦硬式磁碟機上者,應在個人電腦設置識別密碼、保護程式密碼及相關安全措施。
(2)個人資料檔案使用完畢應即退出,不得任其停留於電腦螢幕上。
(3)定期進行電腦系統防毒、掃毒之必要措施。
(4)重要個人資料應另加設管控密碼,並定期更換密碼,非經陳報本公司(商業)負責人、各營業處所主管或經指定之管理人員核可,並取得密碼者,不得存取。
2、紙本資料之保管:
(1)對於各類契約書件及個人資料表應存放於公文櫃內並上鎖,員工非經本公司(商業)負責人、各營業處所主管或經指定之管理人員同意不得任意複製或影印。
(2)對於記載個人資料之紙本丟棄時,應先以碎紙設備進行處理。
(三)人員管理措施
1、本公司(商業)依業務需求設定所屬人員(例如主管、非主管人員)不同之權限,以控管其個人資料蒐集、處理與利用之情形。
2、本公司(商業)檢視各相關業務之性質,指派人員負責規範個人資料蒐集、處理及利用等流程。
3、本公司(商業)員工應妥善保管個人資料之儲存媒介物,執行業務時依個人資料保護法規定蒐集、處理及利用個人資料。
4、員工離職應立即取消其使用者代碼(帳號)及識別密碼。其所持有之個人資料應辦理交接,不得在外繼續使用,並簽訂保密切結書(如在任職時之相關勞務契約已有所約定時,亦屬之)。
5、本公司(商業)與員工所簽訂之相關勞務契約或承攬契約均列入保密條款及相關之違約罰則,以確保其遵守對於個人資料內容之保密義務(含契約終止後)。
6、本公司(商業)員工每○天(週、月)應變更識別密碼ㄧ次,並於變更識別密碼後始可繼續使用電腦。
|
ㄧ、依據個資法施行細則第十二條第二項規定及本辦法第四條第二項第二款第六目規定擬訂。
二、第一款及第二款之設備安全管理及資料安全管理,請依各公司(商業)所有設備擬訂計畫,範本內容列舉事項僅供參考。
三、第三款人員管理措施第一目至第五目係參考本辦法第十六條規定擬訂,建議納入計畫規定事項。
|
|
七、認知宣導及教育訓練
(一)本公司(商業)每○年進行個人資料保護法基礎認知宣導及教育訓練至少○次(或每年派遣員工○人參與相關單位辦理進行個人資料保護法基礎教育宣導及數位學習教育訓練至少○小時),使員工知悉應遵守之規定,前述教育宣導及訓練應留存紀錄(例如:簽名冊等文件)。
(二)對於新進人員應特別給予指導,務使其明瞭個人資料保護相關法令規定、責任範圍及應遵守之相關管理措施。
|
ㄧ、依據個資法施行細則第十二條第二項規定及本辦法第四條第二項第二款第七目規定擬訂。
二、請依實際狀況填寫。
|
|
八、資料安全稽核機制
(一)本公司(商業)定期(每二年至少ㄧ次)辦理個人資料檔案安全維護稽核,查察本公司(商業)是否落實本計畫規範事項,針對查察結果不符合事項及潛在不符合之風險,應規劃改善與預防措施,並確保相關措施之執行。執行改善與預防措施時,應依下項事項辦理:
1、確認不符合事項之內容及發生原因。
2、提出改善及預防措施方案。
3、紀錄查察情形及結果。
(二)前項查察情形及結果應作成稽核報告,由本公司(商業)負責人或經指定之管理人員簽名確認,稽核報告至少保存五年。
|
ㄧ、依據個資法施行細則第十二條第二項規定及本辦法第四條第二項第二款第八目規定擬訂。
二、配合本辦法第十七條規定,定期檢查計畫之執行,每二年至少ㄧ次,並作成報告,其保存期限至少五年,如劃底線數字部分。
三、請依實際狀況填寫。
|
|
九、使用記錄、軌跡資料及證據保存
(ㄧ)本公司(商業)建置個人資料之電腦,其個人資料使用查詢紀錄檔,每年定期備份加密,並將該紀錄檔之儲存媒介物保存於適當處所以供檢查。
(二)個人資料使用紀錄以紙本登記者,應存放於公文櫃內並上鎖,非經本公司(商業)負責人、各營業處所主管或經指定之管理人員同意,不得任意取出。
|
ㄧ、依據個資法施行細則第十二條第二項規定及本辦法第四條第二項第二款第九目規定擬訂。
二、請依實際情形說明公司(商業)如何保存個人資料相關使用紀錄及自動化機器設備之軌跡資料。
|
|
十、個人資料安全維護之整體持續改善
(ㄧ)本公司(商業)將隨時依據計畫執行狀況,技術發展及相關法令修正等事項,檢討本計畫是否合宜,並予必要之修正。
(二)針對個資安全稽核結果有不符合法令之虞者,規劃改善與預防措施。
|
ㄧ、依據個資法施行細則第十二條第二項規定及本辦法第四條第二項第二款第十目規定擬訂。
二、第一款配合本辦法第五條第二項規定擬訂。
三、第二款係指如於個資安全稽核時發現似有不符合法令規定情事,應規劃改善與預防措施。
|
|
十一、業務終止後之個人資料處理方法
本公司(商業)業務終止後,所保有之個人資料不得繼續使用,並依實際情形採下列方式處理,並留存相關紀錄至少五年:
(一)銷毀:銷毀之方法、時間、地點及證明銷毀之方式。
(二)移轉:移轉之原因、對象、方法、時間、地點及受移轉對象得保有該項個人資料之合法依據。
(三)其他刪除、停止處理或利用個人資料:刪除、停止處理或利用之方法、時間或地點。
|
ㄧ、依據個資法施行細則第十二條第二項規定及本辦法第四條第二項第二款第十ㄧ目規定擬訂。
二、配合本辦法第十九條規定擬訂,劃底線數字部分請勿扣減。
|
download:
殯葬服務業個人資料檔案安全維護計畫範本.doc
計畫範本之逐點說明.doc
|
