業者應訂定下列事項之內部管理程序:
一、蒐集、處理或利用有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料者,檢視是否符合本法第六條第一項但書所定情形。
二、檢視個人資料蒐集或處理,是否符合本法第十九條第一項所定法定情形及特定目的;經當事人同意而為蒐集或處理者,並應確保符合本法第七條第一項規定。
三、檢視個人資料之利用,是否符合蒐集之特定目的必要範圍;其為特定目的外之利用者,檢視是否符合本法第二十條第一項但書所定情形;經當事人同意而為特定目的外之利用者,並應確保符合本法第七條第二項規定。
四、檢視個人資料之蒐集是否符合本法第八條第二項或第九條第二項得免為告知之事由;無得免為告知之事由者,並應確保符合本法第八條第一項或第九條第一項規定。
五、利用個人資料行銷而當事人表示拒絕接受行銷者,確保符合本法第二十條第二項及第三項規定。
六、當事人行使本法第三條所定權利之相關事項:
(一)提供當事人行使權利之方式。
(二)確認當事人或其代理人之身分。
(三)檢視是否符合本法第十條但書、第十一條第二項但書及第十一條第三項但書所定得拒絕其請求之事由。
(四)依前目規定拒絕當事人行使權利者,應附理由通知當事人。
(五)就當事人請求為准駁決定及延長決定期間之程序,並應確保符合本法第十三條規定。
(六)當事人請求更正或補充其個人資料者,其應釋明之事項。
(七)就當事人查詢、請求閱覽或製給複製本之請求酌收必要成本費用者,應明定其收費標準。
七、維護個人資料正確性之機制;個人資料正確性有爭議者,並應確保符合本法第十一條第一項、第二項及第五項規定。
八、定期檢視個人資料蒐集之特定目的是否已消失或期限是否已屆滿;其特定目的消失或期限屆滿者,並應確保符合本法第十一條第三項規定。