特定非公務機關應就下列事項,訂定個人資料之管理程序:
一、蒐集、處理或利用之個人資料包含本法第六條所定特種個人資料者,檢視其特定目的及是否符合相關法令之要件;其經當事人書面同意者,並應確保符合本法第六條第二項準用第七條第一項、第二項及第四項之規定。
二、檢視個人資料之蒐集、處理,是否符合免為告知之事由,及告知之內容、方式是否合法妥適。
三、檢視一般個人資料之蒐集、處理,是否符合本法第十九條規定,具有特定目的及法定情形;其經當事人同意者,並應確保符合本法第七條之規定。
四、檢視一般個人資料之利用,是否符合本法第二十條規定蒐集之特定目的必要範圍;其為特定目的外之利用者,檢視是否符合法定情形;經當事人同意者,並應確保符合本法第七條之規定。
五、利用個人資料為行銷,當事人表示拒絕行銷者,立即停止利用其個人資料行銷,並至少於首次行銷時,提供當事人免費表示拒絕接受行銷之方式。
六、委託他人蒐集、處理或利用個人資料之全部或一部時,對受託人依本法施行細則第八條規定為適當之監督,並於委託契約或相關文件中,明確約定其內容。
七、對個人資料國際傳輸前,應檢視本會有無依本法第二十一條規定所為之限制且遵循之,並告知當事人其個人資料所欲國際傳輸之區域,同時對資料接收方為下列事項之監督:
(一)預定處理或利用個人資料之範圍、類別、特定目的、期間、地區、對象及方式。
(二)當事人行使本法第三條所定權利之相關事項。
八、當事人行使本法第三條所定權利之相關事項:
(一)當事人身分之確認。
(二)提供當事人行使權利之方式,並告知所需支付之費用,及應釋明之事項。
(三)對當事人請求之審查方式,並遵守本法有關處理期限之規定。
(四)有本法所定得拒絕當事人行使權利之事由者,其理由記載及通知當事人之方式。
九、檢視個人資料於蒐集、處理或利用過程中是否正確;其有不正確或正確性有爭議者,應依本法第十一條第一項、第二項及第五項規定辦理。
十、檢視所保有個人資料之特定目的是否消失,或期限是否屆滿;其特定目的消失或期限屆滿者,應依本法第十一條第三項規定刪除、停止處理或利用。
前項第七款之規定,特定非公務機關將個人資料作國際傳輸,如有本法第二十一條第一款至第四款情形,本會得限制傳輸。