個人資料管理政策
壹、目的
哈瑪星科技股份有限公司(以下簡稱本公司)為落實個人資料之保護及管理,並符合個人資料保護法(以下簡稱個資法)之要求,特制定個人資料管理政策(以下簡稱本政策)。
貳、適用範圍
本政策適用於本公司全體員工及委外人員。
參、名詞定義
一、個人資料:
指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料等個人資料。
二、當事人:
係指個人資料之本人。
三、利害關係人:
指個人資料當事人、客戶、委外廠商或合作廠商或其他與本公司業務有關之相關人士或單位等。
肆、目標
一、依個資法、個人資料保護法施行細則與BS 10012要求,保護個人資料蒐集、處理、利用、儲存、傳輸、銷毀之過程。
二、為保護本公司業務相關個人資料之安全,免於因外在威脅,或內部人員不當之管理與使用,致遭受竊取、竄改、毀損、滅失、或洩漏等風險。
三、提升對個人資料之保護與管理能力,降低營運風險,並創造可信賴之個人資料保護及隱私環境。
四、為提升全體人員個人資料保護安全意識,每年定期辦理個人資料保護宣導教育訓練。
五、定期針對個人資料流程進行風險評鑑,鑑別可承受風險等級。
伍、原則
一、個人資料之蒐集與處理
本公司因營運所需取得或蒐集之包括但不限於個人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料等個人資料,應遵循我國個資法等法令,不過度且符合目的、相關且適當並公平與合法地從事個人資料之蒐集與處理。且依個資法第5條規定,對於個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
二、個人資料之利用及國際傳輸
1. 本公司於利用個人資料時,除需依個資法之特定目的必要範圍內為之外,如需為特定目的以外之利用時,將依據個資法第20條之規定辦理;倘有需取得當事人之書面同意之必要者,本公司應依法取得當事人之書面同意。
2. 本公司所蒐集、處理之個人資料,應遵循我國個資法及本公司個人資料管理制度之規範,且個人資料之使用為本公司營運或業務所需,方可為本公司承辦人員利用。
3. 本公司取得之個人資料,如有進行國際傳遞之必要者,定謹遵不違反國家重大利益、不以迂迴方法向第三國傳遞或利用個人資料規避個資法之規定等原則辦理,又,倘國際條約或協定有特別規定、或資料接受國對於個人資料之保護未有完善之法令致有損害當事人權益之虞者,本公司將不進行國際傳遞,以維護個人資料之安全。
三、個人資料之調閱與異動
當本公司接獲個人資料調閱或異動之需求時,應依個資法第3條及本公司所訂之程序,於合法範圍內進行當事人之個人資料查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集、處理、利用、請求刪除。
四、個人資料之例外應用
1. 本公司因業務上所擁有之個人資料負有保密義務,除當事人之要求查閱或有下列情形外,應符合個資法第20條及相關法令規定,並以正式公文或其他可證明之方式查詢,本公司不得對第三人揭露:
(1). 司法機關、監察機關或警政機關因偵查犯罪或調查證據所需。
(2). 本公司目的事業主管機關因進行業務檢查所需。
(3). 其他政府機關因執行公權力並有正當理由所需。
(4). 與公眾生命安全有關之機關(構)為緊急救助所需。
2. 依個資法第20條規定,本公司對個人資料之利用,除個資法第6條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:
(1). 法律明文規定。
(2). 為增進公共利益所必要。
(3). 為免除當事人之生命、身體、自由或財產上之危險。
(4). 為防止他人權益之重大危害。
(5). 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
(6). 經當事人同意。
(7). 有利於當事人權益。
五、個人資料之保護
1. 本公司已成立個資管委會,明確定義相關人員之責任與義務,下設執行小組,並依相關法令規定辦理個資檔案更新及安全維護管理事項。
2. 本公司已建立與實施個人資料管理制度(Personal Information Management System,以下簡稱PIMS),以確認本政策之實行;全體人員及委外廠商應遵循PIMS之規範與要求,並定期審查PIMS之運作。
3. 個人資料檔案應建立管理制度,分級分類管理,並針對接觸人員建立安全管理規範。
4. 個人資料輸入、輸出、存取、更新、銷毀或分享等處理行為,應釐定使用範圍及調閱或存取權限。
5. 為確保個人資料安全,應強化個人資料檔案於資訊系統之存取安全,建立安全保護機制,防止非經授權存取,以維護個人資料之隱私性,並定期查核。
6. 個人資料檔案儲存於個人電腦者,應於該電腦設置可辨識身分之登入通行碼,並視業務及重要性,考量其他輔助安全措施。
7. 本公司各部門如遇有個人資料檔案發生遭人惡意破壞、毀損或作業不慎等安全事件,應進行緊急應變措施。
8. 本公司係以嚴密之措施、政策保護當事人之個人資料,全體人員均受有完整之個資保護相關教育訓練。倘有洩露個人資料之情事者,將依法追究其民事、刑事及行政責任。
9. 本公司之委外廠商或合作廠商與本公司業務往來合作時,均應簽訂保密契約,使其充分瞭解個人資料保護之重要性及洩露個人資料之法律責任。倘有違反保密義務之情事者,將依法追究其民事及刑事責任。
六、利害關係人之參與及期許
本公司個人資料保護及管理決議事項應納入個資管委會會議報告,涉及重大決議之會議紀錄應提報利害關係人,如有任何回饋事項,將列入下次個資管委會會議之討論議題。
陸、審查
每年至少舉行一次個資管委會審查會議,以確保本公司個人資料管理政策、矯正預防措施及相關個資議題之有效運作。
柒、實施
本公司之個人資料管理政策,每年定期或因時勢變遷或法令修正等事由,予以適當修訂,並陳個資保護長兼召集人後,公告實施,修正時亦同。