一、 | 本公司為遵守並落實個人資料保護法及其他個人資料保護相關法令規定之個人資料管理、維護與執行等事宜,特訂定本辦法。 |
二、 | 本辦法所稱個人資料管理、個人資料檔案、蒐集、處理、利用、國際傳輸、當事人等名詞定義,係指個人資料保護法第二條所述之內容。 |
三、 |
本公司辦理有關個人資料保護相關業務,應包括下列任務: (一)個人資料保護政策之擬議。 (二)個人資料管理制度之推展。 (三)個人資料隱私風險評估及管理。 (四)職員工之個人資料保護意識提升及教育訓練計畫之擬議。 (五)個人資料管理制度基礎設施之評估。 (六)個人資料管理制度適法性與合宜之檢視、審議及評估。 (七)其他個人資料保護、管理之規劃及執行事項。 |
四、 |
本公司各單位應指定專人依據個人資料保護法之規定辦理下列事項: (一)當事人依個人資料保護法第十條及第十一條第一項至第四項所定請求事項之考核。 (二)個人資料保護法第十一條第五項及第十二條所定通知事項之考核。 (三)依據個人資料保護法第六條、第十九條、第二十條規定蒐集、處理或利用個人資料。 (四)個人資料保護法第二十七條所定個人資料檔案安全維護措施。 (五)依本管理辦法第三條第一項第(四)款所為擬議之執行。 (六)個人資料保護法令之諮詢。 (七)個人資料保護事項之協調聯繫。 (八)單位內個人資料損害預防及危機處理應變之通報。 (九)本公司個人資料保護政策之執行、單位內個人資料保護之自行查核。 (十)其他單位內個人資料保護管理之規劃及執行。 |
五、 |
本公司應設置個人資料保護管理之聯絡窗口,辦理下列事項: (一)個人資料保護業務之協調聯繫及緊急應變通報。 (二)以非自動化方式檢索、整理之個人資料安全事件之通報。 (三)重大個人資料外洩事件之民眾聯繫單一窗口。 (四)本公司個人資料清單製作及更新。 (五)個人資料保護法教育訓練名單及紀錄之彙整。 |
六、 |
本公司蒐集、處理或利用個人資料之範圍、類別及特定目的,依據個人資料保護法、個人資料保護法施行細則、主管機關函釋及相關政府法令規定辦理。前開事項之變更或修正者,亦同。 |
七、 | 本公司各單位對於個人資料之蒐集、處理或利用,應確實依個人資料保護法第五條規定為之。遇有疑義者,應由相關單位會同法務研議。 |
八、 |
本公司各單位蒐集當事人個人資料時,應明確告知當事人下列事項。但符合個人資料保護法第八條第二項規定情形之一者,不在此限: (一)公司或單位名稱。 (二)蒐集之目的。 (三)個人資料之類別。 (四)個人資料利用之期間、地區、對象及方式。 (五)當事人依個人資料保護法第三條規定得行使之權利及方式。 (六)當事人得自由選擇提供個人資料時,不提供對其權益之影響。 |
九、 |
本公司各單位蒐集非由當事人提供之個人資料時,應於處理或利用前,向當事人告知個人資料來源及本管理辦法第八條第(一)款至第(五)款所列事項。但符合個人資料保護法第九條第二項規定情形之一者,不在此限。 前項之告知,得於首次對當事人為利用時併同為之。 |
十、 |
本公司各單位依個人資料保護法第十九條或第二十條規定對個人資料之蒐集、處理、利用時,應依據本管理辦法詳為審核,若有疑義,得會簽相關單位及法務表示意見後呈總經理核定辦理。 本公司各單位依個人資料保護法第二十條但書規定對個人資料為特定目的外之利用,應將個人資料之利用歷程做成紀錄。 對於個人資料之應用,不得為資料庫之恣意連結,且不得濫用。 |
十一、 |
本公司保有之個人資料又誤或缺漏時,由資料蒐集單位呈核後,移由資料保有單位更正或補充之,並留存相關紀錄。 因可歸責於本公司之事由,未為更正或補充之個人資料,應於更正或補充後,由資料蒐集單位以通知書通知曾提供利用之對象。 |
十二、 |
本公司保有之個人資料正確性有爭議者,應由資料蒐集單位呈核後,移由資料保有單位停止處理或利用該個人資料。但符合個人資料保護法第十一條第二項但書情形者,不在此限。 個人資料已停止處理或利用者,資料保有單位應確實紀錄。 |
十三、 |
本公司保有之個人資料蒐集之特定目的消失或期限屆滿時,應由資料蒐集單位呈核後,移由資料保有單位刪除、停止處理或利用。但符合個人資料保護法第十一條第三項但書情形者,不在此限。 個人資料已刪除、停止處理或利用者,資料保有單位應確實紀錄。 |
十四、 |
各單位依個人資料保護法第十一條第四項規定刪除、停止蒐集、處理或利用個人資料者。應呈核後,移由資料保有單位為之。 個人資料已刪除、停止蒐集、處理或利用者,資料保有單位應確實紀錄。 |
十五、 | 本公司遇有個人資料保護法第十二條所定個人資料被竊取、洩漏、竄改或其他侵害情事者,經查明後,應由資料外洩單位以適當方式儘速通知當事人。 |
十六、 |
當事人依個人資料保護法第十條或第十一條第一項ˋ至第四項規定向本公司為請求時,應檢附相關證明文件。 前項書件內容,如有遺漏或欠缺,應通知限期補正。 申請案件有下列情形之一者,應以書面駁回其申請: (一)申請書件內容有遺漏或欠缺,經通知限期補正,逾期仍未補正。 (二)有個人資料保護法第十條但書各款情形之一。 (三) 有個人資料保護法第十一條第二項但書或第三項但書所定情形之一。 (四)與法令規定不符。 |
十七、 |
當事人依個人資料保護法第十條規定提出之請求,應於十五日內為准駁之決定。 前項准駁決定期間,必要時得予延長,延長期間不得逾十五日,並應將其原因以書面通知請求人。 |
十八、 |
當事人請求查詢、閱覽或製給個人資料複製本者,被請求之資料保有單位得依據個人資料保護法第十四條規定酌收成本費用。 當事人閱覽其個人資料,應由承辦單位派員陪同為之。 |
十九、 |
當事人依個人資料保護法第十一條第一項至第四項規定提出之請求,應於三十日內為准駁之決定。 前項准駁決定期間,必要時得予延長,延長期間不得逾三十日,並應將原因以書面通知請求人。 |
二十、 | 本公司保有之個人資料檔案進行國際傳輸時,應依據個人資料保護法第二十一條規定辦理。 |
二十一、 | 為防止個人資料被竊取、竄改、毀損、滅失或洩漏,本公司之各單位及指定之專門維護人員,應依個人資料保護法、相關法令規定及本管理辦法個人資料檔案安全維護事項。 |
二十二、 | 個人資料檔案應依據個人資料保護法第二十七條規定建立管理制度,分級分類管理,並針對接觸人員建立安全管理規範。 |
二十三、 | 各單位遇有個人資料檔案發生遭人惡意破壞毀損、作業不慎等危安事件,或有駭客攻擊等非法入侵情事,應進行緊急因應措施,並迅速通報資訊、法務及相關單位,必要時得組緊急因應小組處理,並由本公司資訊單位之資安聯絡人員上網通報, |
二十四、 | 個人資料檔案安全維護工作,除本管理辦法外,並應符合個人資料保護法、個人資料法施行細則及相關政府法令規定。 |
二十五、 | 本管理辦法經總經理核定公布後生效,其後經變更或修改者,亦同。 |
中華民國109年4月28日 (109)味王人字第025號 函 |