經紀業個人安全維護計畫範本綜修

2022-03-09

○○○公司 (商號)個人資料檔案安全維護計畫及業務終止後個人資料處理方法(不動產經紀業範本)

111年2月10日修正

壹、經紀業之組織、規模及特性

一、組織型態:股份有限公司、有限公司或獨資(合夥)商號

二、經營型態:直營/加盟

三、資本額:新台幣○○○萬元整

四、處所地址:○○市○○區○○路(街)○段○號○○樓

五、代表人(負責人):○○○

六、員工人數: (可記載一定範圍之人數)

七、特性:居間/受託代理銷售

貳、個人資料檔案之安全維護管理措施(計畫內容)

一、管理人員及資源

(一)管理人員:

1、配置人數:○人。(不分直營或加盟體系,亦或是自有品牌之業者,建議至少配置1名管理人員)

2、職責:負責規劃、訂定、修正與執行計畫或業務終止後個人資料處理方法等相關事項,並向負責人提出報告。

(二)預算:每一年新台幣○○萬元。(依實際狀況填寫)

(三)個人資料保護管理政策:遵循個人資料保護法(以下簡稱個資法)關於蒐集、處理及利用個人資料之規定,並確實維護與管理所保有個人資料檔案安全,以防止個人資料被竊取、竄改、毁損、滅失或洩漏。

二、個人資料之範圍

(一)特定目的:代理與仲介業務(○二○)、行銷(○四○)、......等運用。(註:本項請依法務部「個人資料保護法之特定目的及個人資料之類別」,說明特定目的項目,例如:人事管理(○○二)、住宅行政(○四一)、契約、類似契約或其他法律關係事務(○六九)、消費者、客戶管理與服務(○九○)、其他諮詢與顧問服務(一八二)等。)

(二)客戶個人資料:

本計畫所稱之客戶個人資料係指客戶姓名、出生年月日、國民身分證統一編號、婚姻、家庭、教育、職業、聯絡方式等,及其他得以直接或間接方式識別該個人之資料。

(註:請參考法務部「個人資料保護法之特定目的及個人資料之類別」明列本計畫中所含個人資料之類別)

(三)員工或所屬經紀人員個人資料:

係指員工或所屬經紀人員之姓名、出生年月日、身分證統一編號、婚姻、家庭、職業、健康檢查、財產狀況、聯絡方式等,及其他得以直接或間接識別該個人之資料。

三、風險評估及管理機制

(一)風險評估

1、經由本公司電腦下載或外部網路入侵而外洩。

2、經由接觸書面契約書類而外洩。

3、(直營總部公司與各分設營業處所/加盟總部與加盟店間)互為傳輸時外洩。

4、員工故意竊取、毁損或洩漏。

(二)管理機制

1、藉由使用者代碼、識別密碼設定及文件妥適保管。

2、定期進行網路資訊安全維護及控管。

3、電磁資料視實際需要以加密方式傳輸。

4、加強對員工之管制及設備之強化管理。

四、個人資料蒐集、處理及利用之內部管理措施

(一)直接向當事人蒐集個人資料時,應明確告知以下事項:a.公司(商號)名稱、加盟品牌名稱。b.蒐集目的。c.個人資料之類別。d.個人資料利用之期間、地區、對象及方式。e.當事人得請求閱覽、製給複製本、補充或更正、停止蒐集、處理、利用或刪除其個人資料。

(二)所蒐集非由當事人(或客戶)提供之個人資料,應於處理或利用前向當事人告知個人資料來源及前項應告知之事項。

(三)(客戶洽詢物件階段 /與客戶簽訂委託銷售委託承購之委託書),如獲得客戶書面同意,得進行個人資料蒐集、處理及利用。

(四)利用個人資料為行銷時,當事人(或客戶)表示拒絕行銷後,應立即停止利用其個人資料行銷。當事人表示拒絕接受行銷之日起7日內,(分設之營業處所/加盟店)除通知內部其他業務人員外將拒絶情形通知(總公司/加盟總部)彙整後再周知所屬各部門。(涉有參與聯賣服務者,應通知其他聯賣業者)

(五)中央主管機關對經紀業為限制國際傳輸個人資料之命令或處分時,本公司(商號)應通知所屬人員遵循辦理。所屬人員於個人資料進行國際傳輸時,應檢視是否受中央主管機關限制,並告知當事人其個人資料所欲國際傳輸之區域,且對資料接收方為下列事項之監督:1.預定處理或利用個人資料之範圍、類別、特定目的、期間、地區、對象及方式。2.當事人行使個資法第3條所定權利之相關事項。

(六)客戶表示拒絕行銷或請求閱覽、製給複製本、補充或更正、停止蒐集、處理、利用或刪除其個人資料時,連絡窗口為:○○○ ;電話為:○○○○○○。並將聯絡窗口及電話等資料,揭示於本公司(商號)營業處所或公司網頁。如認有拒絕當事人行使上述權利之事由,應附理由通知當事人。

(七)負責保管及處理個人資料檔案之人員,其職務有異動時,應將所保管之儲存媒體及有關資料檔案移交,以利管理。

(八)本公司(商號)員工或所屬之經紀人員如因其工作執掌相關而須輸出、輸入個人資料時,均須鍵入其個人之使用者代碼及識別密碼,同時在使用範圍及使用權限內為之,其中識別密碼並應保密,不得洩漏或與他人共用。

(九)由指定之管理人員定期查核、界定蒐集、處理及利用個人資料之範圍、執行各項個人資料檔案之安全管理措施。

(十)本公司(商號)要求所屬人員為執行業務而蒐集、處理一般個人資料時,應檢視是否符合個資法第19條之要件;利用時,應檢視是否符合蒐集之特定目的必要範圍;為特定目的外之利用時,應檢視是否符合個資法第20條第1項但書情形。

(十一)經清查發現有非屬特定目的必要範圍內之個人資料或特定目的消失、期限屆滿而無保存必要者,應予刪除、銷毀或其他停止蒐集、處理或利用等適當之處置。但因執行職務或業務所必須或經當事人書面同意者,不在此限。

(十二)本公司(商號)如有委他人(或他公司)蒐集、處理或利用個人資料時,當對受託者為適當之監督並與其明確約定相關監督事項。

(註:如未委託他人則可刪除免予敘明)

(十三)本公司(商號)因故終止業務時,原保有之個人資料,即依規定不再使用,並採銷毁、移轉或其他妥適方式處理。

五、事故之預防、通報及應變機制

(一)預防:

1、本公司(商號)員工或所屬之經紀人員如因其工作執掌而須輸出、輸入個人資料時,均須鍵入其個人之使用者代碼及識別密碼,同時在使用範圍及使用權限內為之。

2、非承辦之經紀人員參閱契約書類時應得公司負責人、店長或經指定之管理人員之同意。

3、個人資料於(公司與分設營業處所間/直營總部與各分店間/加盟總部與加盟店間)互為傳輸時,加強管控避免外洩。

4、加強員工教育宣導,並嚴加管制。

(二)通報及應變:

1、發現個人資料遭竊取、竄改、毀損、滅失或洩漏即向公司(商號)負責人通報,並立即查明發生原因及責任歸屬,及依實際狀況採取必要措施。

2、對於個人資料遭竊取之客戶,以書面通知使其知悉及本公司(商號)已採取之處理措施及諮詢服務專線。

3、個人資料事故發生後,遇有達1,000筆以上之個人資料事故時,於發現後72小時內,以書面(格式如附件)通報○○市(縣)政府地政局,並副知內政部。

4、針對事故發生原因研議改進措施。

六、資料安全管理、人員管理及設備安全管理

(一)資料安全管理

1、電腦存取個人資料之管控:

(1)個人資料檔案儲存在電腦硬式磁碟機上者,應在個人電腦設置識別密碼、保護程式密碼及相關安全措施。

(2)本公司(商號)員工或所屬經紀人員如因其工作執掌相關而須輸出、輸入個人資料時,均須鍵入其個人之使用者代碼及識別密碼,同時在使用範圍及使用權限內為之,其中識別密碼並應保密,不得洩漏或與他人共用。

(3)個人資料檔案使用完畢應即退出,不得任其停留於電腦終端機上。

(4)定期進行電腦系統防毒、掃毒之必要措施。

(5)重要個人資料應另加設管控密碼,非經陳報單位主管核可,並取得密碼者,不得存取。

2、紙本資料之保管:

(1)對於各類委託書、契約書件(含個人資料表)應存放於公文櫃內並上鎖,員工或所屬經紀人員非經公司負責人或營業處所主管同意不得任意複製或影印。

(2)對於記載個人資料之紙本丟棄時,應先以碎紙設備進行處理。

3、因本公司(商號)所使用資通訊系統蒐集、處理或利用消費者個人資料達1萬筆以上,爰針對該資通訊系統,採取下列資訊安全措施,並針對本目之(5)、(6)措施定期演練及檢討改善:

(1)使用者身分確認及保護機制。

(2)個人資料顯示之隱碼機制。

(3)網際網路傳輸之安全加密機制。

(4)個人資料檔案與資料庫之存取控制及保護監控措施。

(5)防止外部網路入侵對策。

(6)非法或異常使用行為之監控及因應機制。

(二)人員管理

1、本公司(商號)依業務需求,得適度設定所屬人員(例如主管、非主管人員)不同之權限,以控管其個人資料之情形。

2、本公司(商號)員工或所屬之經紀人員每○天(週、月)應變更識別密碼1次,並於變更識別密碼後始可繼續使用電腦。

3、員工離職或所屬之經紀人員與公司終止僱傭或委任契約時,將立即取消其使用者代碼(帳號)及識別密碼。其所持有之個人資料應辦理交接,不得在外繼續使用,並簽訂保密切結書(如在任職時之相關勞務契約已有所約定時,亦屬之)。

4、本公司(商號)員工及所屬經紀人員應妥善保管個人資料之儲存媒介物,執行業務時依個資法規定蒐集、處理及利用個人資料。

5、本公司(商號)與員工或所屬之經紀人員所簽訂之相關勞務契約或承攬契約均列入保密條款及相關之違約罰則,以確保其遵守對於個人資料內容之保密義務(含契約終止後)。

(三)、設備安全管理

1、建置個人資料之有關電腦設備,資料保有單位應定期保養維護,於保養維護或更新設備時,並應注意資料之備份及相關安全措施。

2、建置個人資料之個人電腦,不得直接作為公眾查詢之前端工具。

3、公司(商號)應指派專人管理儲存個人資料之相關電磁紀錄物或相關媒體資料,非經單位主管同意並作成紀錄不得攜帶外出或拷貝複製。

4、本公司(商號)之客戶個人資料檔案應定期(例如:每二週)下載以作為備份。

5、重要個人資料備份應異地存放,並應置有防火設備及保險箱等防護設備,以防止資料滅失或遭竊取。

6、存有個人資料之紙本、磁碟、磁帶、光碟片、微縮片、積體電路晶片或其他存放媒介物需報廢汰換或轉作其他用途時,本公司(商號)負責人或營業處所主管應檢視該設備所儲存之個人資料是否確實刪除或銷毀。委託他人執行者,當對受託者為適當之監督並與其明確約定相關監督事項及方式。

七、資料安全稽核機制

(一)本公司(商號)定期(每半年至少1次)辦理個人資料檔案安全維護稽核,查察本公司(商號)是否落實本計畫規範事項,針對查察結果不符合事項及潛在不符合之風險,應規劃改善措施,並確保相關措施之執行。執行改善與預防措施時,應依下項事項辦理:

1、確認不符合事項之內容及發生原因。

2、提出改善及預防措施方案。

3、紀錄查察情形及結果。

(二)前項查察情形及結果應載入稽核報告中,由公司(商號)負責人簽名確認。

八、使用紀錄、軌跡資料及證據保存

(註:本項請依實際情形說明公司(商號)有關個人資料之刪除、停止處理或利用之方法、時間或地點等紀錄如何保存?如有移轉其他對象之情形,是否記錄移轉之原因、對象、方法、時間、地點及該對象蒐集、處理或利用之合法依據等相關證據?留存相關軌跡資料、相關證據及紀錄至少5年,以供必要時說明其所訂計畫之執行情況。)

九、認知宣導及教育訓練

(一)本公司(商號)每年進行個資法基礎教育宣導及教育訓練至少○次,使員工或所屬之經紀人員知悉應遵守之規定。前述教育宣導及訓練應留存紀錄(例如:簽名冊等文件)

(二)對於新進人員應特別給予指導,務使其明瞭個人資料保護相關法令規定、責任範圍及應遵守之相關管理措施。

十、個人資料安全維護之整體持續改善

(一)本公司(商號)將隨時依據計畫執行狀況,注意相關社會輿情、技術發展及法令修正等事項,檢討本計畫是否合宜,並予必要之修正,並於規定期限內報請所在地直轄市、縣(市)主管機關備查。

(二)針對個資安全稽核結果不符合法令之虞者,規劃改善與預防措施。

十一、業務終止後之個人資料處理方法

本公司(商號)業務終止後,所保有之個人資料不得繼續使用,並依實際情形採下列方式處理,並留存相關紀錄:

(一)銷毀:銷毀之方法、時間、地點及證明銷毀之方式。

(二)移轉:移轉之原因、對象、方法、時間、地點及受移轉對象得保有該項個人資料之合法依據。

(三)其他刪除、停止處理或利用個人資料:刪除、停止處理或利用之方法、時間或地點。

註:本範本僅供不動產仲介業、不動產代銷業或兼營不動產仲介及代銷業參考,請會員依業務型態、規模、特性、保有個人資料之性質、數量及相關規定等事項,選擇適當之選項自行酌修。