本辦法依個人資料保護法（以下簡稱本法）第二十七條第三項規定訂定之 。

停車場經營業保有個人資料檔案者，應採行適當之安全措施，防止個人資 料被竊取、竄改、毀損、滅失或洩漏；其發售月票等其他記名停車票之停 車場經營業者，並應訂定個人資料檔案安全維護計畫（以下簡稱維護計畫 ）。

前項應訂維護計畫之停車場經營業者，其為新設立者，於申請停車場登記 證時，應將維護計畫一併送地方主管機關備查；已領得停車場登記證者， 於本辦法施行之日起六個月內送地方主管機關備查。

維護計畫之內容應包括第三條至第二十條規定之相關組織及程序，並應定 期檢視及配合相關法令修正計畫。

停車場經營業就個人資料檔案安全維護管理，應指定專人或建立專責組織 負責。

前項專人或專責組織之任務如下：

一、規劃、訂定、修正與執行維護計畫及業務終止後個人資料處理方法等 相關事項，並定期向停車場經營業負責人報告。

二、訂定個人資料保護管理政策，將其所蒐集、處理及利用個人資料之依 據、特定目的及其他相關保護事項，公告使其所屬人員均明確瞭解。

三、定期對所屬人員施以基礎認知宣導或專業教育訓練，使其明瞭個人資 料保護相關法令之規定、所屬人員之責任範圍及各種個人資料保護事 項之方法或管理措施。

停車場經營業應確認蒐集個人資料之特定目的，依特定目的之必要性，界 定所蒐集、處理及利用個人資料之類別或範圍，並定期清查所保有之個人 資料現況。

前項清查發現有下列情形者，停車場經營業應主動或依當事人之請求，刪 除、停止蒐集、處理或利用該個人資料：

一、非屬特定目的必要範圍內之個人資料。

二、特定目的消失或期限屆滿而無本法第十一條第三項但書之情形。

停車場經營業應依已界定之個人資料範圍及個人資料蒐集、處理、利用之 流程，訂定適當之管控措施。

停車場經營業為因應所保有之個人資料被竊取、竄改、損毀、滅失或洩漏 等事故，應採取下列機制：

一、採取適當之應變措施，以控制事故對當事人之損害，並通報地方主管 機關。

二、查明事故之狀況並依本法第十二條規定以適當方式通知當事人，並告 知已採取之因應措施。

三、檢討缺失並研擬預防機制，避免類似事故再次發生。

停車場經營業應檢視及確認所蒐集、處理及利用之個人資料是否包含本法 第六條所定個人資料與其特定目的，及其是否符合相關法令之要件。

停車場經營業為遵守本法第八條及第九條關於告知義務之規定，應採取下 列方式：

一、檢視蒐集、處理個人資料之特定目的。

二、檢視蒐集、處理之個人資料，是否符合免告知之事由；其不符者，依 據資料蒐集之情形，採取適當之告知方式。

停車場經營業應檢視蒐集、處理個人資料是否符合本法第十九條規定，具 有特定目的及法定要件。

停車場經營業應檢視利用個人資料是否符合本法第二十條第一項特定目的 必要範圍內利用之規定；於特定目的外利用個人資料時，應檢視是否具備 法定特定目的外利用要件。

停車場經營業於首次利用個人資料為行銷時，應提供當事人免費表示拒絕 接受行銷之方式；當事人表示拒絕行銷後，應立即停止利用其個人資料行 銷，並週知所屬人員。

停車場經營業委託他人蒐集、處理或利用個人資料之全部或一部時，應對 受託人依本法施行細則第八條規定為適當之監督，並明確約定相關監督事 項與方式。

停車場經營業為提供資料當事人行使本法第三條所定權利，得採取下列方 式為之：

一、確認是否為個人資料之本人，或經其委託授權。

二、提供當事人行使權利之方式，並遵守本法第十三條有關處理期限之規 定。

三、告知是否酌收必要成本費用。

四、有本法第十條及第十一條得拒絕當事人行使權利之事由者，應附理由 通知當事人。

停車場經營業為維護其所保有個人資料之正確性，應採取下列方式為之：

一、檢視個人資料於蒐集、處理或利用過程，是否正確。

二、當發現個人資料不正確時，適時更正或補充。

三、個人資料正確性有爭議者，應依本法第十一條第二項規定處理。

因可歸責於停車場經營業之事由，未為更正或補充之個人資料，應於更正 或補充後，通知曾提供利用之對象。

停車場經營業應採取下列資料安全管理措施：

一、運用電腦或自動化機器相關設備蒐集、處理或利用個人資料時，應訂 定使用可攜式設備或儲存媒體之規範。

二、針對所保有之個人資料內容，如有加密之需要，於蒐集、處理或利用 時，應採取適當之加密機制。

三、作業過程有備份個人資料之需要時，應比照原件，依本法規定予以保 護。

四、存有個人資料之紙本、磁碟、磁帶、光碟片、微縮片、積體電路晶片 等媒介物，於報廢或轉作其他用途時，應採適當防範措施，以避免洩 漏個人資料；其委託他人執行者，準用第十一條規定辦理。

停車場經營業應採取下列人員管理措施：

一、依據作業之需要，適度設定所屬人員不同之權限並控管其接觸個人資 料。

二、檢視各相關業務流程涉及蒐集、處理及利用個人資料之負責人員。

三、與所屬人員約定保密義務。

四、所屬人員離職或完成受指派工作後，應將其執行業務所持有之個人資 料辦理交接，亦不得私自持有複製物而繼續使用該個人資料。

停車場經營業針對保有個人資料之紙本、磁碟、磁帶、光碟片、微縮片、 積體電路晶片、電腦或自動化機器設備等媒介物之環境，應採取下列環境 管理措施：

一、依據作業內容之不同，實施適宜之進出管制方式。

二、所屬人員妥善保管個人資料之儲存媒介物。

三、針對不同媒介物存在之環境，適度建置空調、消防、防鼠除蟲等保護 設備或技術。

停車場經營業業務終止後，其保有之個人資料應依下列方式處理及記錄； 其紀錄並應至少保存五年：

一、銷毀者，記錄其方法、時間、地點及證明銷毀之方式。

二、移轉者，記錄其原因、對象、方法、時間、地點及受移轉對象得保有 該項個人資料之合法依據。

三、其他刪除、停止處理或利用個人資料者，記錄其方法、時間或地點。

停車場經營業應訂定個人資料安全稽核機制，定期或不定期查察所屬人員 是否落實執行其所訂定之維護計畫或業務終止後個人資料處理方法等相關 事項。

停車場經營業應採取個人資料使用紀錄、留存自動化機器設備之軌跡資料 或其他相關證據保存機制，以供必要時說明其所訂維護計畫之執行情況； 其相關紀錄之保存期限至少為五年。

停車場經營業宜參酌執行業務現況、社會輿情、技術發展、法令變化等因 素，檢視所訂維護計畫是否合宜，必要時予以修正。

前項維護計畫應於修正後六個月內送地方主管機關備查。

本辦法施行日期，由交通部定之。