非公務機關為因應個人資料被竊取、竄改、毀損、滅失或洩漏等安全事故,應訂定下列應變、通報及預防機制:
一、事故發生後應採取之應變措施,包括降低、控制當事人損害之方式、查明事故後通知當事人之適當方式及內容。
二、事故發生後應受通報之對象及其通報方式。
三、事故發生後研議其矯正預防措施之機制。
非公務機關遇有個人資料安全事故,將危及大量當事人權益者,應於發現事故後七十二小時內填具「個人資料侵害事故通報與紀錄表」(如附表 1)通報本會下列事項,未於時限內通報者應附遲延理由:
一、非公務機關名稱、通報人及聯絡方式。
二、通報機關、通報時間、事件發生時間、擬通知當事人時間。
三、事件發生種類、個人資料類型、預估個人資料侵害總筆數、發生原因、損害狀況、個人資料侵害可能結果。
四、擬採取之因應措施、擬採通知當事人之方式。
本會接受非公務機關依第二項通報後,得依本法第二十二條至第二十五條等規定,為適當之監督管理措施。