旅行社（股份）有限公司个人资料档案安全维护计画范本.docVIP

○旅行社（股份）有限公司個人資料檔案安全維護計畫範本 壹、旅行業之組織及規模 組織型態：股份有限公司、有限公司 代表人（負責人）：○○○ 資本額：新臺幣○○○萬元整 公司編號：○○○ 公司類別：（綜合、甲種） 公司地址：○○市○○區○○路（街）○段○號○○樓 員工人數： ○○人 貳、個人資料檔案之安全維護管理措施(計畫內容) 一、管理人員及資源 （一）管理人員： 1、配置人數：○人。(建議至少配置1名管理人員) 2、職責：負責規劃、訂定、修正與執行計畫或業務終止後個人資料處理方法等相關事項，並向負責人提出報告。 （二）預算：每一年新台幣○○萬元。（包含管理人員薪資、設備費用等，依實際狀況填寫） （三）個人資料保護管理政策：遵循個人資料保護法關於蒐集、處理及利用個人資料之規定，並確實維護與管理所保有個人資料檔案安全，以防止個人資料被竊取、竄改、毁損、滅失或洩漏。 二、個人資料之範圍 （一）特定目的：旅行業服務、接受旅客委託代辦入、出國境及簽證手續、履行旅遊契約或類似契約或其他法律關係事務、消費者旅客管理與服務、辦理責任保險、人事管理、承攬執行接待或引導旅客觀光旅遊業務而收取報酬之導遊、領隊。（類別：識別類、社會情況類） （二）個人資料：本計畫所稱自然人之個人資料，除係指旅客姓名、出生年月日、國民身分證統一編號、護照號碼、聯絡方式、信用卡號外及其他得以直接或間接方式識別該個人之資料。 三、風險評估及管理機制 （一）風險評估 1、經由本公司電腦下載或外部網路入侵而外洩。 2、經由接觸書面契約書類而外洩。 3、員工及第三人竊取、毁損或洩漏。 4、旅行社間互為傳輸時之外洩（包括分公司間傳輸、同業旅行社間傳輸）。 （二）管理機制 1、藉由使用者代碼、識別密碼設定及文件妥適保管。 2、定期進行網路資訊安全維護及控管。 3、電磁資料視實際需要以加密方式傳輸。 4、加強對員工之管制及設備之強化管理。 四、個人資料蒐集、處理及利用管理措施 （一）直接向當事人蒐集個人資料時，應明確告知以下事項： 公司名稱。 蒐集目的。 個人資料之類別。 個人資料利用之期間、地區、對象及方式。 當事人得請求閱覽、製給複製本、補充或更正、停止蒐集、處理、利用或刪除其個人資料。 當事人得自由選擇提供個人資料時，不提供將對其權益之影響。 （二）所蒐集非由當事人（或旅客）提供之個人資料，應於處理或利用前向當事人告知個人資料來源及前項應告知之事項。 （三）旅行社得為辦理本計畫之特定目的內，進行個人資料蒐集、處理、利用，於委託期限屆滿時應主動刪除或銷毀。但因法令規定（旅行業管理規則第25條第3項：「旅行業辦理旅遊業務，應製作旅客交付文件與繳費收據，分由雙方收執，並連同與旅客簽定之旅遊契約書，設置專櫃保管一年，備供查核。」）、執行業務所必須或經書面同意者，不在此限。 （四）利用個人資料為行銷時，當事人（或旅客）表示拒絕行銷後，應立即停止利用其個人資料行銷。 （五）旅客表示拒絕行銷或請求閱覽、製給複製本、補充或更正、停止蒐集、處理、利用或刪除其個人資料時，連絡窗口為：○○○ ；電話為：○○○○○○。並將聯絡窗口及電話等資料，揭示於本公司營業處所或公司網頁。如認有拒絕當事人行使上述權利之事由，應附理由通知當事人。 （六）負責保管及處理個人資料檔案之員工，其職務有異動時，應將所保管之儲存媒體及有關資料檔案移交，以利管理。 （七）本公司員工如因其工作執掌相關而須輸出、輸入個人資料時，均須鍵入其個人之使用者代碼及識別密碼，同時在使用範圍及使用權限內為之，其中識別密碼並應保密，不得洩漏或與他人共用。 （八）由指定之管理員工定期清查所保有之個人資料是否符合蒐集特定目的，若有非屬特定目的必要範圍之資料，或特定目的消失、期限屆滿而無保存必要者，即予刪除、銷毀或其他適當處置。 （九）本公司如有委託他人（或他公司）蒐集、處理或利用個人資料時，當對受託者為適當之監督並與其明確約定相關監督事項。 （如未委託他人則可以選擇加以刪除） （十）所蒐集之個人資料如需作特定目的外利用，必須先行檢視是否符合規定。 （十一）本公司因故終止業務時，原保有之個人資料，即依規定不再使用，並採銷毁、移轉或其他妥適方式處理。 五、事故之預防、通報及應變機制 （一）預防： 1、本公司員工如因其工作執掌而須輸出、輸入個人資料時，均須鍵入其個人之使用者代碼及識別密碼，同時在使用範圍及使用權限內為之。 2、本公司對內或對外從事個人資料傳輸時，加強管控避免外洩。 3、加強員工教育宣導，並嚴加管制。 （二）通報及應變： 1、發現個人資料遭竊取、竄改、毀損、滅失或洩漏即向交通部觀光局及公司負責人通報，並立即查明發生原因及責任歸屬，及依實際狀況採取必要措施。 2、對於個人資料遭竊取之旅客，應以適當方式通知使其知悉及