凱旋海運股份有限公司個人資料檔案安全維護計畫
113.9.6 航東字第1133411521號函准予備查
本公司為保護乘客個人資料安全,防止個人資料被竊取、竄改、毀損、滅失或洩漏,依「船舶運送業者個人資料檔案安全維護計畫及處理辦法」修訂本計畫。
壹、 公司組織及規模
一、 公司名稱:凱旋海運股份有限公司
二、 負責人:王益薪
三、 資本額:新臺幣貳仟萬元整
四、 公司編號:24264017
五、 公司類別:船舶運送業
六、 公司地址:臺東市松江一段58巷33號
七、 員工人數: 計23人(職員7人、船員16人)
貳、個人資料檔案之安全維護管理措施
一、管理人員及資源
(一)管理人員:
1、配置人數:1人。
2、職責:負責規劃、訂定、修正與執行計畫或業務終止後個人資料處理方法等相關事項,並向負責人提出報告。
(二)預算:每年設備維護及更新:新台幣貳拾陸萬元。
(三)個人資料保護管理政策:遵循個人資料保護法關於蒐集、處理及利用個人資料之規定,並確實維護與管理所保有個人資料檔案安全,以防止個人資料被竊取、竄改、毁損、滅失或洩漏,並列入在職教育訓練事項。
二、個人資料之範圍
(一)特定目的:為確保航行安全及提升個人化服務品質,本公司資料蒐集目的在於客票之開立、依規定航班結束上傳名單之用。
(二)個人資料:本計畫所稱自然人之個人資料,除係指乘客姓名、出生年月日、國民身分證統一編號、護照號碼、電話等聯絡方式以資識別該個人之資料。
三、風險評估及管理機制
(一)風險評估
1、經由本公司電腦下載或外部網路入侵而外洩。
2、經由接觸書面名單保存不慎而外洩。
3、員工及第三人竊取、毁損或洩漏。
4、本公司與其他船舶運送業間因簽轉搭乘互為傳輸時外洩。
5、受本公司委託蒐集、處理或利用個人資料者,其保有之個人資料被竊取、竄改、毀損、滅失或洩漏等等。
(二)管理機制
1、藉由使用者代碼、識別密碼設定及文件妥適保管。
2、定期進行網路資訊安全維護,並加強不定期變更密碼控管。
3、傳輸資料視實際需要以加密方式傳輸。
4、加強對員工宣導及設備之強化管理。
5、接受本公司委託者明確約定相關監督事項,簽訂約定委託作業及切結書,並按時提交相關文件。
(三)直接向當事人蒐集個人資料時,應明確告知以下事項:
1、公司名稱、蒐集目的。
2、個人資料利用之期間、航段、對象及方式。
3、當事人得請求閱覽、製給複製本、停止利用或刪除其個人資料。
4、用LINE訂位時,在加LINE同時,會有個人資料及隱私權益等有關資料之蒐集及保護詳情之揭示。
(四)本公司為辦理本計畫之特定目的,進行個人資料蒐集、處理,於保存期限屆滿時主動刪除或銷毀。但因法令規定(船舶法第11條規定:「載有記名乘客者,應備妥乘客名冊,配合航政機關依職務需要之查驗或使用。」)執行業務所必須者,不在此限。
(五)本公司不得利用個人資料進行行銷。
(六)乘客表示拒絕行銷或請求閱覽、製給複製本或刪除其個人資料時,本公司得配合當事人請求,連絡凱旋海運股份有限公司、電話:06-9277995。
(七)本公司負責保管及處理個人資料檔案之員工,其職務有異動時,須將所保管儲存之有關資料檔案移交,以利管理。
(八)本公司員工如因其工作職掌有關須輸出、輸入個人資料時,均須鍵入其個人之使用者代碼及識別密碼,同時在使用範圍及使用權限內為之,其中識別密碼並應保密,不得洩漏或與他人共用。
(九)本公司指定管理員工定期清查所保有之個人資料,若有非屬特定目的必要範圍之資料,或特定目的消失、處理所保管乘客個人資料檔案保存至多3個月,期限屆滿而無保存必要者,即予刪除、銷毀。
(十)本公司如有委託他人(或他公司)蒐集、處理或利用個人資料時,當對受託者為適當之監督並與其明確約定相關監督事項,並簽訂約定委託作業及切結書。
(十一)所蒐集之個人資料如需作特定目的之用,必須先行檢視是否符合規定。
(十二)本公司因故終止業務時,原保有之個人資料,即依規定不再使用,並採銷毁、移轉方式處理。
五、事故之預防、通報及應變機制
(一)預防:
1、本公司員工如因其工作職掌有關須輸出、輸入個人資料時,均須鍵入其個人之使用者代碼及識別密碼碼,同時在使用範圍及使用權限內為之,其中識別密碼並應保密,不得洩漏或與他人共用。
2、加強員工在職教育宣導,並嚴加管制。
(二)通報及應變:
1、發現個人資料遭竊取、竄改、毀損、滅失或洩漏即向交通部航港局東部航務中心及本公司負責人通報 ,並立即查明發生原因及責任歸屬,及依實際狀況採取必要措施。
2、對於個人資料遭竊取之乘客,應以適當方式通知使其知悉及本公司個人資料外洩事實、已採取之處理措施、客服電話窗口等資訊。
3、針對事故發生原因檢討改進措施。
六、資料安全管理、員工管理及設備安全管理
(一)資料安全管理:
1、電腦存取個人資料之管控:
(A)個人資料檔案儲存在電腦硬式磁碟機上者,在電腦上設置識別密碼、保護程式及相關安全措施。
(B)本公司員工如因其工作職掌須輸出、輸入個人資料時,須鍵入其個人之使用者代碼及識別密碼,同時在使用範圍及使用權限內為之,其中識別密碼並應保密,不得洩漏或與他人共用。
(C)個人資料檔案使用完畢應即退出,不得任其停留於電腦終端機上。
(D)定期進行電腦系統防毒、掃毒之必要措施。
2、紙本資料之保管:
(A)對於各類委託書、契約書件(含個人資料表)應妥善管理,員工非經公司負責人或營業處所主管同意不得任意複製或影印。
(B)對於記載個人資料之紙本丟棄時,先以碎紙設備進行處理。
(二)員工管理:
1、本公司依業務需求,得適度設定所屬員工不同之權限,以控管其個人資料之情形。
2、本公司員工每3個月變更識別密碼1次,並於變更識別密碼後始可繼續使用電腦。
3、本公司員工應妥善保管個人資料之儲存,執行業務時依個人資料保護法規定蒐集、處理。
4、本公司員工任職需簽訂保密條款及違約罰則,以確保其遵守對於個人資料內容之保密義務。
(三)設備安全管理:
1、建置個人資料之有關電腦設備,資料保有單位應定期保養維護,於保養維護或更新設備時,並應注意資料之備份及相關安全措施。
2、建置個人資料之個人電腦,不得直接作為公眾查詢之前端工具。
3、本公司之乘客個人資料檔案至多保存3個月,期限屆滿而無保存必要者,即予刪除、銷毀。
4、電腦需報廢汰換時,本公司負責人或主管應檢視該設備所儲存之個人資料是否確實刪除。
七、資料安全稽核機制
(一)本公司每年辦理一次個人資料檔案安全維護,查察本公司管理人員是否落實本計畫事項,針對查核結果不符合事項之風險,立即規劃改善措施。
(二)前項查察由公司負責人或指定專人執行。
八、認知宣導及教育訓練
對於新進員工,由主管或種子人員給予個別指導,務使其明瞭個人資料保護相關法令規定、責任範圍及應遵守之相關管理措施,其安維教育須於試用期滿前完成,其教育訓練視狀況給予二至三小時認知宣導,另外每年均對所有員工安排個資安全維護教育訓練課程3小時。
九、業務終止後之個人資料處理方法:
本公司結束營業後,所保有之個人資料不得繼續使用,並依實際情形採下列方式處理:
1、書面個人資料送碎紙機絞碎。
2、儲存於電腦之個人資料需刪除,或以物理方式擊毀硬碟等。