為加強CSI-TAIWAN對於關係人個人資料之保護措施,維護個人資料之安全性與正確性,並建立對個人資料之管理、稽核、保存及改善機制,擬具本辦法。
- 本計劃由CSI-TAIWAN理監事共同制訂,每年或必要時依據查核人員報告、專責人員建議、技術發展、法令修正或其他因素檢視修正。
- 本計劃專責執行人員為CSI-TAIWAN 秘書長。負責個人資料檔案安全維護。
- 本計劃從屬人員為CSI-TAIWAN行政秘書。為協會執行業務過程中接觸個人資料人員。
- 本計劃查核人員為CSI-TAIWAN理事長,負責稽核安全維護計劃執行情形。並於每半年提出報告。
- 關係人個人資料蒐集:
- 線上捐款:將收集姓名,身份證字號,住址,聯絡電話及電子郵件信箱。資料儲存於第三方資訊公司Neticrm。
- 紙本捐款:將收集姓名,身份證字號,信用卡卡號,住址,聯絡電話及電子郵件信箱。資料儲存於協會辦公室。
- 海外志工:將收集姓名,身份證字號,住址,聯絡電話,緊急連絡人資訊及電子郵件信箱。資料儲存於第三方資訊公司Neticrm。
- 國內志工:將收集姓名,身份證字號,住址,聯絡電話及電子郵件信箱。資料儲存於協會Azure 雲端 Microsoft Booking系統 及 Google workplace 雲端Google 表單中。
- 肖像授權書:收集姓名,住址及聯絡電話。資料儲存於協會辦公室。
- 蒐集個人資料時,皆告知個資使用範圍及協會保密義務。
- 關係人個人資料檔案之安全維護及管理:
- 關係人個資案安全維護:
- 資料儲存於第三方資訊公司 捐款人支持系統(netiCRM)者監督其資安策略,了解是否定期更新系統並做內部檢測。
- 儲存於辧公室之紙本資料需置放於上鎖櫃中。
- 雲端系統Azure, Google workplace及 Neticrm登入設訂二階段驗證。除認可的流覽器,登入時皆須輸入隨機產生的第二密碼。並定期更換登入密碼。尤其,netiCRM是本會重要捐款人管理系統,每月須重新驗證。
- 協會電腦設置密碼,不使用時關機。
- 電子傳輸個人資料時,必要將檔案加密,避免洩漏。
- 每年檢視協會關係人個資,發現有紙本信用卡授權過期或關係人要求停止授權等特定狀況。應將關係人個資刪除、銷毀,並建立銷毀記錄。紙本資料銷毀時需以碎紙機先行處理
- 電腦或其他儲存媒介物需報廢汰換或轉作其他用途時,應先檢查是否有洩漏關係人個資料之可能並採取適當防護措施。
- 關係人個資案安全維護:
- 所屬人員(行政秘書)規範:
- 要求所屬人員妥善保管個人資料之儲存媒介物,並約定保管及保密義務。
- 所屬人員離職時取消其識別碼,並應要求將執行業務所持有,包括紙本及儲存媒介物之個人資料辦理交接,不得攜離使用,並應簽訂保密切結書。
- 關係人個資事故應變機制:
- 不論是第三方資訊公司或協會辦公室持有之個人資料發生被竊取、洩漏、竄改或其他侵害事故,應查明進行以下應變:
- 透過各平台管道將捐款詐騙訊息、因應對策,淺顯易懂發布於官網、FB、E-MAIL等對外溝通平台,加強協會所有關係人防護意識。
- 對於發生個資安全被侵害之關係人或其法定代理人以電話告知。
- 通告第三方資訊公司及主管機關。
- 研議改進措施,避免事故再度發生。
- 不論是第三方資訊公司或協會辦公室持有之個人資料發生被竊取、洩漏、竄改或其他侵害事故,應查明進行以下應變:
- 查核人員(理事長)每半年稽核安全維護計畫之執行情形及成效,並將稽核結果,向理監事提出報告。
- CSI-TAIWAN應業務終止時,對關係人個人資料之處理:
- 銷毀:最遲在辦公室關閉前一星期,將關係人相關個資紙本資料經碎紙機銷毀並拍照留存記錄。由協會終止前負責人保存刪除記錄至少五年。
- 移轉:協會終止時,不移轉任何關係人個資給任何人或任何組織/單位。
- 刪除:最遲在辦公室關閉前一星期前,終止與第三方資訊公司合約並要求刪除儲存其資料庫的所關係人個資,且刪除協會所有雲端,電腦中所有關係人相關個資。由協會終止前負責人保存刪除記錄至少五年。
