伍、原則
一、個人資料之蒐集與處理
本公司因營運所需取得或蒐集之包括但不限於個人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料等個人資料,應遵循我國個資法等相關法令,不過度且符合目的、相關且適當並公平與合法地從事個人資料之蒐集與處理。且依個資法第5條規定,對於個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
二、個人資料之利用及國際傳輸
1. 本公司於利用個人資料時,除需依個資法之特定目的必要範圍內為之外,如需為特定目的以外之利用時,將依據個資法第20條之規定辦理;倘有需取得當事人之書面同意之必要者,本公司應依法取得當事人之書面同意。
2. 本公司所蒐集、處理之個人資料,應遵循我國個資法及本公司個人資料管理制度之規範,且個人資料之使用為本公司營運或業務所需,方可為本公司承辦人員利用。
3. 本公司取得之個人資料,如有進行國際傳遞之必要者,定謹遵不違反國家重大利益、不以迂迴方法向第三國傳遞或利用個人資料規避個資法之規定等原則辦理,又,倘國際條約或協定有特別規定、或資料接受國對於個人資料之保護未有完善之法令致有損害當事人權益之虞者,本公司將不進行國際傳遞,以維護個人資料之安全。
三、個人資料之調閱與異動
當本公司接獲個人資料調閱或異動之需求時,應依個資法第3條及本公司所訂之程序,於合法範圍內進行當事人之個人資料查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集、處理、利用、請求刪除。
四、個人資料之例外應用
1. 本公司因業務上所擁有之個人資料負有保密義務,除當事人之要求查閱或有下列情形外,應符合個資法第20條及相關法令規定,並以正式公文或其他可證明之方式查詢,本公司不得對第三人揭露:
(1). 司法機關、監察機關或警政機關因偵查犯罪或調查證據所需。
(2). 本公司目的事業主管機關因進行業務檢查所需。
(3). 其他政府機關因執行公權力並有正當理由所需。
(4). 與公眾生命安全有關之機關(構)為緊急救助所需。
2. 依個資法第20條規定,本公司對個人資料之利用,除個資法第6條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:
(1). 法律明文規定。
(2). 為增進公共利益所必要。
(3). 為免除當事人之生命、身體、自由或財產上之危險。
(4). 為防止他人權益之重大危害。
(5). 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
(6). 經當事人同意。
(7). 有利於當事人權益。
五、個人資料之保護
1. 本公司已成立個資管委會,明確定義相關人員之責任與義務,下設執行小組,並依相關法令規定辦理個資檔案更新及安全維護管理事項。
2. 本公司已建立與實施 PIMS,以確認本政策之實行;全體人員及委外廠商應遵循PIMS之規範與要求,並定期審查PIMS之運作。
3. 個人資料檔案應建立管理制度,分級分類管理,並針對接觸人員建立安全管理規範。
4. 個人資料輸入、輸出、存取、更新、銷毀或分享等處理行為,應釐定使用範圍及調閱或存取權限。
5. 為確保個人資料安全,應強化個人資料檔案於資訊系統之存取安全,建立安全保護機制,防止非經授權存取,以維護個人資料之隱私性,並定期查核。
6. 個人資料檔案儲存於個人電腦者,應於該電腦設置可辨識身分之登入通行碼,並視業務及重要性,考量其他輔助安全措施。
7. 本公司各部門如遇有個人資料檔案發生遭人惡意破壞、毀損或作業不慎等安全事件,應進行緊急應變措施。
8. 本公司係以嚴密之措施、政策保護當事人之個人資料,全體人員均受有完整之個資保護相關教育訓練。倘有洩露個人資料之情事者,將依法追究其民事、刑事及行政責任。
9. 本公司之委外廠商或合作廠商與本公司業務往來合作時,均應簽訂保密契約,使其充分瞭解個人資料保護之重要性及洩露個人資料之法律責任。倘有違反保密義務之情事者,將依法追究其民事及刑事責任。
六、利害關係人之參與及期許
本公司個人資料保護及管理決議事項應納入個資管委會會議報告,涉及重大決議之會議紀錄應提報利害關係人,如有任何回饋事項,將列入下次個資管委會會議之討論議題。