宗教團體為因應個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故（
以下簡稱個人資料事故），應訂定下列應變、通報及預防機制：
一、個人資料事故發生後應採取之各類措施，包括：
    （一）控制當事人損害之方式。
    （二）查明個人資料事故後通知當事人之適當方式。
    （三）應通知當事人個人資料事故事實、所為因應措施及諮詢服務專
          線等內容。
二、個人資料事故發生後應受通報之對象及其通報方式。
三、個人資料事故發生後，其矯正預防措施之研議機制。
宗教團體遇有達五千筆以上之個人資料事故時，應於發現後七十二小時內
將通報機關、發生時間、發生種類、發生原因及摘要、損害狀況、個人資
料侵害可能結果、擬採取之因應措施、擬通知當事人之時間及方式、是否
於發現個人資料外洩後立即通報等事項，以書面通報其主管機關。如為直
轄市、縣（市）主管機關接獲通報，並應副知中央主管機關（書面通報格
式如附件）。
主管機關對於重大個人資料事故，得依本法第二十二條規定對宗教團體之
應變、通報及預防機制進行實地檢查，並視檢查結果為後續處置。中央主
管機關認有必要時，得督導直轄市、縣（市）主管機關對於宗教團體之相
關機制改善情形。

一、本法第十二條規定，非公務機關所持有之個人資料發生被竊取、洩漏
    、竄改或其他侵害事故者，應查後以適當方式通知當事人。爰第一項
    規定宗教團體在本計畫及處理方法中應訂定應變機制及其必要作為之
    相關事項，在發生個人資料被竊取等侵害事故時，得迅速遵循處理，
    以保護當事人之權益。
二、第二項參考殯葬服務業個人資料檔案安全維護管理辦法第十四條規定
    ，並考量宗教團體組織規模差異，爰定明宗教團體遇有達五千筆以上
    之個人資料被竊取、洩漏、竄改或其他侵害之重大個人資料事故時，
    負通報義務。並依行政院一百十年二月三日「行政機關落實個人資料
    保護執行聯繫會議」第一次會議決議，定明事故通報時點及應通報事
    項。
三、為調查事故發生後，是否係宗教團體所採取保護安全措施不足導致，
    第三項定明中央及地方主管機關對於重大個人資料事故得採取之措施
    及後續行政檢查規定。