聖恩禮儀
聖恩禮儀
按鈕
目錄

隱私權說明

聖恩禮儀股份有限公司 個人資料檔案安全維護計畫

修(訂)定日期:中華民國106年 05 月 01 日

 

壹、殯葬服務業之組織規模

 

一、組織型態:股份有限公司
二、營業項目:殯葬設施經營業或殯葬禮儀服務業
三、資 本 額:新臺幣 叁仟 萬元整
四、公司地址:高雄市三民區九如一路237號1樓
五、代 表 人:黃連福 
六、員工人數:55 人(可記載一定範圍之人數)

 

貳、個人資料檔案之安全維護管理措施

 

一、配置管理之人員及相當資源
(一)管理人員:
1、配置人數: 1 人。(至少應配置ㄧ名管理人員)
2、職責:負責規劃、訂定、修正與執行計畫或業務終止後個人資料處理方法等相關事項。
(二)預算:每ㄧ年新臺幣 10 萬元。(包含管理薪資、設備費用等,可記載一定範圍之金額,請依實際狀況填寫)
二、界定蒐集、處理及利用個人資料之範圍
(一)特定目的:人事管理、行銷、契約或類似契約或其他法律關係事務、消費者客戶管理與服務、消費者保護、廣告或商業行為管理。
(二)資料類別:
1、辨識個人者:如客戶及員工之姓名、地址、住家及行動電話號碼、電子郵件及其他任何可辨識資料本人者等資訊。
2、辨識財務者:如信用卡號碼或金融機構帳戶資訊。
3、個人描述:如性別、出生年月日等。

 

三、風險評估及管理機制

 

(一)風險評估
1、經由本公司(商業)或各營業處所電腦下載或外部網路入侵而外洩。
2、經由接觸書面契約書類而外洩。
3、本公司(商業)與各營業處所間或依殯葬管理條例第五十六條規定受委託之公司或商業間互為傳輸時外洩。(依實際狀況填列)
4、員工故意竊取、竄改、毁損或洩漏。
(二)管理機制
1、僅開放相關人員存取,他人無法取得。
2、定期進行網路資訊安全維護及控管。
3、電磁資料視實際需要以加密方式傳輸。
4、加強對員工之管制及設備之強化管理。

 

四、事故之預防、通報及應變機制

 

(一)預防:
1、本公司之電腦皆須登入帳號密碼方可使用。強迫每6個月需更換一次密碼,且不得重複前三次。
2、非承辦之人員參閱契約書類時應得公司(商業)負責人或經指定之管理人員之同意。
3、個人資料於本公司(商業)與各營業處所間或受委託之公司或商業間互為傳輸時,加強管控避免外洩。
4、加強員工教育宣導,並嚴加管制。
(二)通報及應變:
1、發現個人資料遭竊取、竄改、毀損、滅失或洩漏即向本公司(商業)負責人或經指定之管理人員通報,並立即查明發生原因及責任歸屬,依實際狀況採取必要措施。
2、對於個人資料遭竊取之客戶,應儘速以適當方式通知使其知悉,並告知本公司(商業)已採取之處理措施及聯絡電話窗口等資訊。
3、針對事故發生原因研議改進措施。

 

五、個人資料蒐集、處理及利用之內部管理措施

 

(一)直接向當事人蒐集個人資料時,應明確告知以下事項:
1、 公司(商業)名稱。
2、 蒐集之目的。
3、 個人資料之類別。
4、 個人資料利用之期間、地區、對象及方式。
5、 當事人得請求閱覽、製給複製本、補充或更正、停止蒐集、處理、利用或刪除其個人資料。
6、 當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
(二)所蒐集非由當事人提供之個人資料,應於處理或利用前向當事人告知個人資料來源及前項應告知之事項。
(三)與客戶簽訂之殯葬服務契約(含生前殯葬服務契約)完成履行、解除或終止時,除因執行業務所必須(有約定之保存期限、有理由足認刪除將侵害當事人值得保護之利益、其他不能刪除之正當事由)或經客戶書面同意者,應主動刪除或銷毀,並留存相關紀錄。
(四)利用個人資料為行銷時,當事人表示拒絕行銷後,應立即停止利用其個人資料行銷,並將拒絶情形通報本公司(商業)彙整後周知所屬各部門及員工。
(五)當事人表示拒絕行銷或請求閱覽、製給複製本、補充或更正、停止蒐集、處理、利用或刪除其個人資料時,連絡窗口為: 聖恩禮儀股份有限公司 ;電話為: (07) 382-1339 。如認有拒絕當事人行使上述權利之事由,應附理由通知當事人。
(六)負責保管及處理個人資料檔案之人員,其職務有異動時,應將所保管之儲存媒體及有關資料檔案移交。
(七)本公司之電腦皆須登入帳號密碼方可使用。強迫每6個月需更換一次密碼,且不得重複前三次。本公司員工須善盡保管個人密碼之責,不得洩漏或與他人共用。
(八)由指定之管理人員定期清查所保有之個人資料是否符合蒐集特定目的,若有非屬特定目的必要範圍之資料或特定目的消失、期限屆滿而無保存必要者,即予刪除、銷毀或其他停止蒐集、處理或利用等適當之處置,並留存相關紀錄。
(九)本公司(商業)依殯葬管理條例第五十六條規定委託代為銷售生前殯葬服務契約、墓基及骨灰(骸)存放單位之公司或商業,為執行業務所蒐集、處理或利用個人資料時,應對受託者為適當之監督並與其明確約定相關監督事項。(依實際狀況填寫)

(十)所蒐集之個人資料如需作特定目的外利用,必須先行檢視是否符合個人資料保護法第二十條第一項但書規定。

 

六、設備安全管理、資料安全管理及人員管理措施

 

(ㄧ)設備安全管理
1、建置個人資料之有關電腦、自動化機器相關設備、可攜式設備,資料保有單位應定期保養維護,於保養維護或更新設備時,並應注意資料之備份及相關安全措施。
2、建置個人資料之個人電腦,不得直接作為公眾查詢之前端工具。
3、本公司(商業)之客戶個人資料檔案每天定時備份。
4、本公司禁止使用下列設備:
 隨身碟僅提供讀取功能
 燒錄機、軟碟機
 不可使用外接光碟、硬碟,或其他各種形式之儲存媒體。
 3G網卡、無線網卡
上述設備(網卡除外)如確有使用之需求者,需經部門主管核准,且經權責單位審核通過後方可使用。既使通過申請,本公司依舊監控、記錄其使用情況。
5、電腦、自動化機器或其他存放媒介物需報廢汰換或轉作其他用途時,本公司(商業)負責人或各營業處所主管應檢視該設備所儲存之個人資料是否確實刪除。
(二)資料安全管理
1、電腦存取個人資料之管控:
(1)個人資料檔案儲存在電腦硬式磁碟機上者,應在個人電腦設置識別密碼、保護程式密碼及相關安全措施。
(2)個人資料檔案使用完畢應即退出,不得任其停留於電腦螢幕上。
(3)定期進行電腦系統防毒、掃毒之必要措施。
2、紙本資料之保管:
(1)對於各類契約書件及個人資料表應存放於公文櫃內並上鎖,員工非經本公司(商業)負責人、各營業處所主管或經指定之管理人員同意不得任意複製或影印。
(2)對於記載個人資料之紙本丟棄時,應先以碎紙設備進行處理。

(三)人員管理措施
1、本公司(商業)依業務需求設定所屬人員(例如主管、非主管人員)不同之權限,以控管其個人資料蒐集、處理與利用之情形。
2、本公司(商業)檢視各相關業務之性質,指派人員負責規範個人資料蒐集、處理及利用等流程。
3、本公司(商業)員工應妥善保管個人資料之儲存媒介物,執行業務時依個人資料保護法規定蒐集、處理及利用個人資料。
4、員工離職應立即取消其使用者代碼(帳號)及識別密碼。其所持有之個人資料應辦理交接,不得在外繼續使用,並簽訂保密切結書(如在任職時之相關勞務契約已有所約定時,亦屬之)。
5、本公司(商業)與員工所簽訂之相關勞務契約或承攬契約均列入保密條款及相關之違約罰則,以確保其遵守對於個人資料內容之保密義務(含契約終止後)。
6. 本公司(商業)員工每 180 天(週、月)變更識別密碼ㄧ次,並於變更識別密碼後始可繼續使用電腦。

 

七、認知宣導及教育訓練

 

(一)本公司(商業)每 1 年進行個人資料保護法基礎認知宣導及教育訓練至少 1 次(或每年派遣員工 1 人參與相關單位辦理進行個人資料保護法基礎教育宣導及數位學習教育訓練至少 1 小時),使員工知悉應遵守之規定,前述教育宣導及訓練應留存紀錄(例如:簽名冊等文件)。
(二)對於新進人員應特別給予指導,務使其明瞭個人資料保護相關法令規定、責任範圍及應遵守之相關管理措施。

 

八、資料安全稽核機制

 

(一)本公司(商業)定期(每二年至少ㄧ次)辦理個人資料檔案安全維護稽核,查察本公司(商業)是否落實本計畫規範事項,針對查察結果不符合事項及潛在不符合之風險,應規劃改善與預防措施,並確保相關措施之執行。執行改善與預防措施時,應依下項事項辦理:
1、確認不符合事項之內容及發生原因。
2、提出改善及預防措施方案。
3、紀錄查察情形及結果。
(二)前項查察情形及結果應作成稽核報告,由本公司(商業)負責人或經指定之管理人員簽名確認,稽核報告至少保存五年。

 

九、使用記錄、軌跡資料及證據保存

 

(ㄧ)本公司(商業)建置個人資料之電腦,皆有使用記錄、軌跡資料等。資料皆妥善保管以供檢查、稽核。
(二)個人資料使用紀錄以紙本登記,應存放於公文櫃內並上鎖,非經本公司(商業)負責人、各營業處所主管或經指定之管理人員同意,不得任意取出。
(註:本項請依實際情形說明公司(商業)如何保存個人資料相關使用紀錄及自動化機器設備之軌跡資料)

 

十、個人資料安全維護之整體持續改善

 

(ㄧ)本公司(商業)將隨時依據計畫執行狀況,技術發展及相關法令修正等事項,檢討本計畫是否合宜,並予必要之修正。
(二)針對個資安全稽核結果有不符合法令之虞者,規劃改善與預防措施。

 

十一、業務終止後之個人資料處理方法

本公司業務終止後個人資料處理方法,應依下列方式為之,並留存相關紀錄:
(一) 銷毀
除法律另有不得銷毁或定有保存期限,須依該等法令規定期限保管之資料外,當本公司於蒐集個人資料之特定目的終止或經當事人主動提出請求時,應按下列方式銷毁之:
1 方法:
(1) 紙本資料視文件是否需保存,分為零星碎紙或整批銷毀。
① 零星碎紙:免保存之個資文件,於特定目的處理完成後(如:帳戶資料銀行已轉帳入款),由保管人以碎紙機切碎處理至無法辨識後,再依垃圾處理分類丟棄。
② 整批銷毁:已屆保存年限之文件資料,採不定期整批銷毁。
(2) 電子資料檔案應將其自儲存媒體刪除,並確認無副本留存。若儲存媒體汰換時應予以物理性銷毁。
2 時間:
(1) 零星碎紙:每日或每週集中碎紙銷毁。
(2) 整批銷毁:採不定期整批銷毁。
(3) 電子檔案銷毁:視業務情形擇期檢視,凡業務終止之檔案,則予以刪除。
3 證明方式:
紙本資料,銷毁時應製作銷毁清單留存。若屬整批銷毁者於發包予廠商處理時,同時簽署「保密切結書」,並於執行銷毀作業後出具「文件銷毀證明」,註明銷毀地點,以示負責。電子資料檔案留存刪除軌跡,銷毁儲存媒體以拍照存證。
(二) 移轉
若因本公司業務或公司合併而須移轉個人資料時,應依據個人資料檔案清冊,辦理個人資料檔案移交手續並製作移交清冊。移交清冊至少應包含移轉之原因、對象、方法、時間、地點及移轉對象得保有該項個人資料檔案之合法依據與證明等。
(三) 其他刪除、停止處理或利用個人資料:
除法律另有不刪除、停止處理或利用之規定外,本公司接獲當事人書面要求應刪除、停止處理或利用個人資料時,依下列方式為之:
1紙本送還本人或以碎紙機切碎銷毀。
2 若已入系統之資料則將該筆個人資料於系統中整筆刪除。