旅行业个人资料档案安全维护计画及处理办法.doc

旅行業個人資料檔案安全維護計畫及處理辦法 第一條　本辦法依個人資料保護法（以下簡稱本法）第二十七條第三項規定訂定之。 第二條　旅行業保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏；其為綜合旅行業及甲種旅行業者，並應訂定個人資料檔案安全維護計畫（以下簡稱維護計畫）。 　　　　前項維護計畫之訂定，綜合旅行業及甲種旅行業應於取得旅行業執照前完成；其於本辦法施行前已取得旅行業執照者，應於本辦法施行之日起六個月內完成。 第三條　旅行業保有個人資料檔案者，得參酌第四條至第二十條規定，訂定適當之安全維護管理措施。 　　　綜合旅行業及甲種旅行業訂定之維護計畫內容，應包括下列項目，下列項目必要時得予整併： 配置管理人員及相當資源。 界定個人資料之範圍並定期清查。 個人資料之風險評估及管理機制。 事故之預防、通報及應變機制。 個人資料蒐集、處理、利用之內部管理程序。 設備安全管理、資料安全管理及人員管理措施。 資料安全稽核機制。 使用紀錄、軌跡資料及證據保存。 辦理個人資料認知宣導及教育訓練。 個人資料安全維護之整體持續改善。 業務終止後之個人資料處理方法。 第四條　旅行業應確認蒐集個人資料之特定目的，依特定目的之必要性，界定所蒐集、處理及利用個人資料之類別或範圍，並定期清查所保有之個人資料現況。 　　　　前項清查發現有下列情形者，旅行業應主動或依當事人之請求，刪除、停止蒐集、處理或利用該個人資料: 一、非屬特定目的必要範圍內之個人資料。 二、特定目的消失或期限屆滿而無本法第十一條第三項但書之情形。 第五條　旅行業為遵守本法第八條及第九條關於告知義務之規定，應採取下列方式： 檢視蒐集、處理個人資料之特定目的。 檢視蒐集、處理之個人資料，是否符合免告知之事由；其不符者，依據資料蒐集之情形，採取適當之告知方式。 第六條　旅行業應檢視蒐集、處理個人資料是否符合本法第十九條規定，具有特定目的及法定要件，並檢視利用個人資料是否符合本法第二十條第一項特定目的必要範圍內利用之規定；於特定目的外利用個人資料時，應檢視是否具備法定特定目的外利用要件。 第七條　旅行業於首次利用個人資料為行銷時，應提供當事人免費表示拒絕接受行銷之方式；當事人表示拒絕行銷後，應立即停止利用其個人資料行銷，並週知所屬人員。 第八條　旅行業為維護其所保有個人資料之正確性，應採取下列方式為之： 檢視個人資料於蒐集、處理或利用過程，是否正確。 當發現個人資料不正確時，適時更正或補充。 個人資料正確性有爭議者，應依本法第十一條第二項規定處理。 因可歸責於旅行業之事由，未為更正或補充之個人資料，應於更正或補充後，通知曾提供利用之對象。 第九條　旅行業委託他人蒐集、處理或利用個人資料之全部或一部時，應對受託人依本法施行細則第八條規定為適當之監督，並明確約定相關監督事項與方式。 第十條　旅行業進行個人資料國際傳輸前，應檢視有無交通部依本法第二十一條規定為限制國際傳輸之命令或處分，並應遵循之。 第十一條　旅行業為提供資料當事人行使本法第三條所定權利，應採取下列方式為之： 一、確認是否為個人資料之本人，或經其委託授權者。 二、提供當事人行使權利之方式，並遵守本法第十三條有關處理期限之規定。 三、告知是否酌收必要成本費用。 四、有本法第十條但書、第十一條第二項但書或第三項但書得拒絕當事人行使權利之事由者，應附理由通知當事人。 第十二條　旅行業就個人資料檔案安全維護管理，應指定專人或建立專責組織，並配置相當資源。 　　前項專人或專責組織之任務如下： 規劃、訂定、修正與執行維護計畫及業務終止後個人資料處理方法等相關事項，並定期向旅行業負責人報告。 訂定個人資料保護管理政策，將其所蒐集、處理及利用個人資料之依據、特定目的及其他相關保護事項，公告使其所屬人員均明確瞭解。 定期對所屬人員施以基礎認知宣導或專業教育訓練，使其明瞭個人資料保護相關法令之規定、所屬人員之責任範圍及各種個人資料保護事項之方法或管理措施。 第十三條　旅行業應採取下列人員管理措施： 依據蒐集、處理及利用個人資料個別作業之需要，適度設定所屬人員不同之權限並控管其接觸個人資料。 檢視各相關業務流程涉及蒐集、處理及利用個人資料之負責人員。 要求所屬人員負有保密義務。 所屬人員離職或完成受指派工作後，應將其執行業務所持有之個人資料辦理交接，亦不得私自持有複製物而繼續使用該個人資料。 第十四條　旅行業應採取下列資料安全管理措施： 運用電腦或自動化機器相關設備蒐集、處理或利用個人資料時，應訂定使用可攜式設備或儲存媒體之規範。 針對所保有之個人資料內容，如有加密之需要，於蒐集、處理或利用時，應採取適當之加密機制。 作業過程有備份個人資料之需要時，應比照原件，依本法規定予以保護。 存有個人資料之紙本、磁碟、磁帶、光碟片、微縮