個人資料保護管理政策

第一條 政策聲明

三陽工業股份有限公司(以下簡稱本公司)為強化個人資料之保護及管理,保障個人資料當事人權利,及防止個人資料被竊取、竄改、毀損、滅失或洩漏,並落實「個人資料保護法」(以下稱「個資法」)及「個人資料保護法施行細則」等相關法律與法令之規定,特制定「三陽工業股份有限公司個人資料保護管理政策」(以下稱「本政策」),以作為本公司之個人資料保護最高指導方針。

第二條 目的

以符合法規命令、國際標準規範之原則,建立完善的個人資料保護制度,以確保應受保護之個人資料均受妥善保護。

第三條 範圍

  1.  本政策之適用範圍,除法令另有規定外,包括本公司之董事(包括獨立董事)、經理人及全體員工(包括約聘僱人員、兼任人員、工讀生等),且員工對於本公司之個人資料保護義務於雙方終止僱傭關係後仍繼續有效。
  2.  人力派遣企業派駐至本公司之人員,及與本公司有業務往來之客戶、廠商、供應商,或委外廠商及人員與訪客等(以下簡稱受託單位),亦應依個資法之規定,遵守本政策。

第四條 組織與權責

本公司成立跨組織之「個資保護委員會」負責督導及審議個人資料管理機制,以確保個人資料管理制度符合法令規定及有效運作與實踐。本公司「個資保護委員會」之組織架構及權責,另依「個資保護委員會組織規程」之規定辦理。

第五條 名詞定義

  1. 個人資料:指依照個資法及其施行細則及相關業法規定所定義之個人之資料。
  2. 蒐集:指以任何方式取得個人資料。
  3. 處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
  4. 利用:指將蒐集之個人資料為處理以外之使用。
  5. 國際傳輸:指將個人資料作跨國(境)之處理或利用。
  6. 個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
  7. 當事人:指個人資料之本人。
  8. 個人資料侵害事件:未經個人資料當事人授權使用或不法蒐集、處理、利用個人資料或其他侵害當事人權利之狀況。

第六條 個人資料之蒐集、處理與利用之處理原則

  1. 對個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
  2. 對個人資料之蒐集或處理,除個資法第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:
    1. 法律明文規定。
    2. 與當事人有契約或類似契約之關係,且已採取適當之安全措施。
    3. 當事人自行公開或其他已合法公開之個人資料。
    4. 學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
    5. 經當事人同意。
    6. 為增進公共利益所必要。
    7. 個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。
    8. 對當事人權益無侵害。 蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。
  3. 依前項向當事人蒐集個人資料時,應明確告知當事人下列事項:
    1. 非公務機關名稱。
    2. 蒐集之目的。
    3. 個人資料之類別。
    4. 個人資料利用之期間、地區、對象及方式。
    5. 當事人依第三條規定得行使之權利及方式。
    6. 當事人得自由選擇提供個人資料時,不提供將對其權益之影響。 有下列情形之一者,得免為前項之告知:
      1. 依法律規定得免告知。
      2. 個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
      3. 告知將妨害公務機關執行法定職務。
      4. 告知將妨害公共利益。
      5. 當事人明知應告知之內容。
      6. 個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。
  4. 對個人資料之利用,除個資法第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:
    1. 法律明文規定。
    2. 為增進公共利益所必要。
    3. 為免除當事人之生命、身體、自由或財產上之危險。
    4. 為防止他人權益之重大危害。
    5. 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
    6. 經當事人同意。
    7. 有利於當事人權益。
  5. 依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。
  6. 應依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本。但有下列情形之一者,不在此限:
    1. 妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。
    2. 妨害公務機關執行法定職務。
    3. 妨害該蒐集機關或第三人之重大利益。
  7. 應維護個人資料之正確,並應主動或依當事人之請求更正或補充之。
  8. 個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須,或經當事人書面同意,並經註明其爭議者,不在此限。
  9. 個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。
  10. 違反個資法或本政策規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。
  11. 應依據個人資料保護相關法令、主管機關要求、以及合法特定目的的要求下保存個人資料,且應明定該個人資料文件及檔案之保管期限,並應針對超過保管期限之文件及檔案建立刪除或銷毀等處理程序。
  12. 本公司委外人員(廠商)應簽署保密協議或個人資料保密協議,並遵守本政策以及相關程序之規定,未經授權不得使用本公司之各類資訊資產及個人資料。但委外事務與資訊安全或個人資料保護無關者,不在此限。
  13. 應要求接觸本公司個資之往來廠商或業務合作對象應遵循本政策及相關規定。本公司個資相關作業委外時,應善盡委任及監督責任。

第七條 個資管理制度運作機制

個資之管理應依下列程序循環運作,以建立個資管理制度,並維護其有效運作與持續改進:
  1. 規劃與建立:依據本公司整體策略與目標,建立個資管理制度。
  2. 實施與運作:依據評估之結果,建立或修正應有之管控機制。
  3. 監督與查核:為確保本政策之落實,相關管理措施辦法授權總經理核定,並列入內控內稽查核項目每年查核。如取得外部個資認證者,應至少每年委託外部機構進行查核。
  4. 維護與改進:根據查核結果與建議,改進並維護制度運作。

第八條 個人資料遭侵害之通知

有違反個資法或本政策規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。

第九條 個資宣導與教育訓練

本公司應定期或不定期對本公司人員進行予個人資料保護訓練課程,促使所有人員瞭解個人資料保護之重要性及各種可能的安全風險,並說明違反規定可能招致的處罰及法律責任,以提高本公司人員個人資料安全意識,促其遵守相關安全規定。

第十條 零容忍政策

本公司嚴格禁止員工之任何故意、惡意、明知縱容而違反本政策之行為,若有前揭情事發生則應按第十一條懲處。

第十一條 罰則

本公司員工應確實依本政策與內部規範規定事項辦理,違反本政策致影響公司權益,經查證屬實者,移送人力資源部按其情節依內部規範懲處及追究法律責任。 如違反者為供應商所屬人員或第三方合作單位,致本公司受有損害時,應依契約要求負損害賠償責任。

第十二條 未盡事宜

本政策規定未盡事宜,悉依其他相關內、外部規定辦理。

第十三條 訂定與施行

本政策經董事長核准後公告實施;修正時亦同。
分享到