殯葬服務業個人資料檔案安全維護計畫範本及逐點說明.docVIP

殯葬服務業個人資料檔案安全維護計畫範本及逐點說明 名稱 說明 ○○公司（商）個人資料檔案安全維護計畫範本 為使直轄市或縣（市）主管機關知悉訂定計畫之公司或商業為何，須冠以各公司（商）名稱。 內容 說明 壹、殯葬服務業之組織規模 一、組織型態：股份有限公司、有限公司或獨資（合夥）商業 二、營業項目：殯葬設施經營業或殯葬禮儀服務業 三、資本額：新臺幣○○○萬元整 四、公司（商業）地址：○○縣（市）○○鄉（鎮、市、區）○○路（街）○段○號○○樓 五、代表人（負責人）：○○○ 六、員工人數：○○人（可記載一定範圍之人數） 依據本辦法第條第項第款規定，殯葬服務業訂定計畫時，得視其規模、特性、保有個人資料之性質及數量等事項，參酌第條至第條規定，訂定適當之安全維護管理措施。 請依實際狀況填寫。 貳、個人資料檔案之安全維護管理措施 一、配置管理之人員及相當資源 （一）管理人員： 1、配置人數：○人。(至少應配置名管理人員) 2、職責：負責規劃、訂定、修正與執行計畫或業務終止後個人資料處理方法等相關事項。 （二）預算：每ㄧ年新臺幣○○萬元。（包含管理薪資、設備費用等，依實際狀況填寫） 依據個人資料保護法（）施行細則第十二條第二項規定及本辦法第四條第二項第二款第目規定擬訂。 劃底線者為本辦法第條規定文字，。 相當資源以預算表示，請依實際狀況填寫。 二、界定蒐集、處理及利用個人資料之範圍 （一）特定目的：人事管理、行銷、契約或類似契約或其他法律關係事務、消費者客戶管理與服務、消費者保護、廣告或商業行為管理。 （二）資料類別： 1、辨識個人者：如客戶及員工之姓名、地址、住家及行動電話號碼、電子郵件及其他任何可辨識資料本人者等資訊。 2、辨識財務者：如信用卡號碼或金融機構帳戶資訊。 3、個人描述：如性別、出生年月日等。 依據個資法施行細則第十二條第二項規定及本辦法第四條第二項第二款第目規定擬訂。 依個資法第條及第條規定，非公務機關對個人資料之蒐集或處理，除該法第條第項所規定資料外（有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料不得蒐集、處理或利用），應有特定目的，並應明確告知當事人個人資料之類別。 另個資法第條規定，本法所定特定目的及個人資料類別，由法務部會同中央目的事業主管機關指定之。查法務部業依上開規定訂定「個資法之特定目的及個人資料的類別」，範本參考，請依實際狀況填寫。 三、風險評估及管理機制 （一）風險評估 1、經由本公司（商業）或各營業處所電腦下載或外部網路入侵而外洩。 2、經由接觸書面契約書類而外洩。 3、本公司（商業）與各營業處所間或依殯葬管理條例第條規定受委託之公司或商業間互為傳輸時外洩。（依實際狀況填列） 4、員工故意竊取、竄改、毁損或洩漏。 （二）管理機制 1、藉由使用者代碼、識別密碼設定及文件妥適保管。 2、定期進行網路資訊安全維護及控管。 3、電磁資料視實際需要以加密方式傳輸。 4、加強對員工之管制及設備之強化管理。 依據個資法施行細則第十二條第二項規定及本辦法第四條第二項第二款第目規定擬訂。 個人資料發生風險如資料被竊取、竄改、毀損、滅失或洩漏，請依實際狀況評估風險因子。 管理機制應可降低風險因子發生。 四、事故之預防、通報及應變機制 （一）預防： 1、本公司（商業）員工如因工作執掌而須輸出、輸入個人資料時，均須鍵入其個人之使用者代碼及識別密碼，同時在使用範圍及使用權限內為之。 2、非承辦之人員參閱契約書類時應得公司（商業）負責人或經指定之管理人員之同意。 3、個人資料於本公司（商業）與各營業處所間或受委託之公司或商業間互為傳輸時，加強管控避免外洩。 4、加強員工教育宣導，並嚴加管制。 （二）通報及應變： 1、發現個人資料遭竊取、竄改、毀損、滅失或洩漏即向本公司（商業）負責人或經指定之管理人員通報，並立即查明發生原因及責任歸屬，依實際狀況採取必要措施。 2、對於個人資料遭竊取之客戶，應儘速以適當方式通知使其知悉，並告知本公司（商業）已採取之處理措施及聯絡電話窗口等資訊。 3、針對事故發生原因研議改進措施。 依據個資法施行細則第十二條第二項規定及本辦法第四條第二項第二款第目規定擬訂。 範本是舉列參考，請依實際狀況填寫。 五、個人資料蒐集、處理及利用之內部管理措施 （一）直接向當事人蒐集個人資料時，應明確告知以下事項： 公司（商業）名稱。 蒐集之目的。 個人資料之類別。 個人資料利用之期間、地區、對象及方式。 當事人得請求閱覽、製給複製本、補充或更正、停止蒐集、處理、利用或刪除其個人資料。 當事人得自由選擇提供個人資料時，不提供將對其權益之影響。 （二）所蒐集非由當事人提供之個人資料，應於處理或利用前向當事人告知個人資料來源及前項應告知之事項。 （三）與客戶簽訂之殯葬服務契約（含生前殯葬服務契約）完成履行、