個人資料保護

1. 適用對象
   本公司所有人員、人力派遣公司派駐人員、與本公司有業務往來之廠商或顧問（包含其員工或臨時雇員），均屬本辦法涵蓋之對象。
   
2. 保護範圍
   本辦法之保護對象為個資法所保護之個人資料。針對蒐集、處理、利用及國際傳輸個人資料訂定相關規範，確保個人資料之安全。
   

1. 個人資料管理體系
   以營運風險導向為基礎，用以建立、實作、運作、監視、審查、維持及改進個人資料管理。
   
2. 個人資料管理指標
   界定如何量測所選擇的控制措施之有效性，以達成本公司個人資料管理目標。
   
3. 個人資料
   指含自然人姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。個人資料之定義及範圍如日後因應主管機關或法規變動配合修訂時，以修訂後的定義及範圍為準。
   
4. 特種個人資料
   指有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料。特種個人資料(以下簡稱「特種個資」)之定義及範圍如日後因應主管機關或法規變動配合修訂時，以修訂後的定義及範圍為準。
   
5. 管理階層
   包含董事會、總經理及高階經理人。
   
6. 個資管理負責人
   指負責組成個人資料保護管理執行組織，並負責制定及落實管理程序之人。
   
7. 個人資料保護管理執行組織
   隸於個資管理負責人並統籌執行本公司個資法相關遵循事務。
   

由管理階層指派個資管理負責人負責本辦法之擬訂及推展，並建立個資管理組織，進行個人資料管理體系之規劃、實施、運作、監督、查核、維護與改善作業，並定期或在重大變化時執行管理審查個人資料管理體系，確保其運作之適切性及有效性。管理範疇宜依據業務規模及特性，包含以下項目：

1. 建立個人資料保護管理程序
   採用與國內資安標準相當的個人資料管理指標，建立個人資料管理程序。
   
2. 規範個人資料蒐集、處理及利用原則，基於合法之特定目的在確實必要的範圍內處理個人資料，其要項如下：
   (1) 確認蒐集個人資料之特定目的符合法令規定，並適當留存稽核的軌跡。
   (2) 處理個人資料應依循本公司資訊安全相關辦法，建立內部接觸資料的權限及資料對應的風險等級，配合風險等級訂定控管機制。
   (3) 告知義務之履行：確認是否得免為告知，並依據蒐集情況採取適當的告知方式。
   (4) 確認資料之利用符合特定目的，及是否可以進行特定目的外之利用，並適當留存稽核軌跡。
   (5) 遵循對特種個資蒐集、處理或利用之限制。
3. 訂定個人資料檔案安全維護措施
   以適當的之技術保護個人資料，提供個人資料檔案適當之安全管理措施，保護其所蒐集、處理或利用之個人資料。
   
4. 建立個人資料管理事件緊急應變程序
   (1) 訂定個人資料保護之可接受的風險程度與因應措施，當個資事件發生導致利害關係人權益受損時，進行適當地回應與處理。
   (2) 設置處理申訴及諮詢的管道，供當事人行使關於個人資料的相關權利。
5.  持續維運個人資料保護管理的相關程序
   (1) 進行相關個人資料管理程序、個人資料管理體系及個人資料管理指標的評估及查核作業，以確保本辦法及相關程序之有效性，並檢查是否落實執行。
   (2) 如有未落實執行或規範變更時，協助改善相關的程序及管理措施，以持續增進個人資料管理系統的有效性。
   

1. 本公司所有人員，皆應瞭解並確實遵守本辦法，並應完全地參與本辦法方案之執行。
2. 本公司管理階層負責指派個資管理負責人，就本公司個人資料管理制度之運作，負監督管理權限之責，並管理、指揮本公司個人資料保護管理執行組織之運作，執行落實遵循個資法。
   

1. 本公司所有人員均應遵循本辦法，違反者須依本公司相關規定予以處分。
2. 如涉有相關民事賠償、刑事責任、行政裁罰者，本公司得終止其僱用關係並衡酌情節追訴其法律責任。
3. 員工對於本公司之個人資料保護義務於雙方終止僱用關係後仍繼續有效。
   

1. 本公司已依據個人資料保護法及相關規範，建立完善的個人資料保護管理制度。
2. 為提升全體員工個人資料保護意識，提供必要之個人資料保護教育訓練，本公司每年至少一次發布個資保護政策內容，以強化員工對個資保護重要性的認知。
3. 員工對於本公司之個人資料保護義務於雙方終止僱用關係後仍繼續有效。.