個人資料管理政策
第一條 目的
為遵循個人資料保護法相關法令,落實個人資料保護管理,並促進個人資料之合理利用,以保障個人資料當事人權利,特訂定本政策。
第二條 管理目標
本政策之管理目標如下:
一、 符合個人資料保護之各項法令規定、主管機關函令、客戶契約及其他相關規範要求。
二、 維護個人資料當事人之合法權益。
第三條 適用範圍及對象
本政策適用於本公司所有員工(含約聘雇人員、工讀生與兼任人員)及受本公司委託蒐集、處理或利用個人資料之供應商或第三方合作單位(含其受僱人、使用人或代理人等)。
子公司應參酌本政策規定,考量其業務規模及性質,制定個人資料保護管理組織及制度。
第四條 用詞定義
一、 個人資料:指依照個人資料保護法及其施行細則及相關業法規定所定義之個人之資料。
二、 蒐集:指以任何方式取得個人資料。
三、 處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
四、 利用:指將蒐集之個人資料為處理以外之使用。
五、 國際傳輸:指將個人資料作跨國(境)之處理或利用。
六、 個資管理制度:指建立、運作、監督、查核、維護及改善個人資料保護管理之架構及制度。
七、 子公司係指國泰人壽、國泰世華銀行、國泰產險、國泰綜合證券、國泰投信、國泰創投等子公司。
第五條 組織與運作 個資之管理應依下列程序循環運作,以建立個資管理制度,並維護其有效運作與持續改進: 一、 規劃與建立:依據本公司整體策略與目標,建立個資管理制度。 二、 實施與運作:依據評估之結果,建立或修正應有之管控機制。 三、 監督與查核:為確保本政策之落實,相關管理措施辦法授權總經理核定,並列入內控內稽查核項目每年查核。如取得外部個資認證者,應至少每年委託外部機構進行查核。 四、 維護與改進:根據查核結果與建議,改進並維護制度運作。 各單位每年至少進行一次個資保護認知宣導及教育訓練,使同仁明瞭相關法令之要求、責任範圍與各種個資保護事項之機制、程序及措施。 本公司風險管理處應至少每年提出個資管理報告,送「個人資料管理委員會」審議,說明本公司個人資料管理制度運作情形。 本公司/集團嚴格禁止旗下員工之任何故意、惡意、明知縱容而違反本政策之行為,若有前揭情事發生則應按第十一條懲處。 本公司員工應確實依本政策與內部規範規定事項辦理,違反本政策致影響公司權益,經查證屬實者,移送人力資源部按其情節依內部規範懲處及追究法律責任。 如違反者為供應商所屬人員或第三方合作單位,致本公司受有損害時,應依契約要求負損害賠償責任。 本政策規定未盡事宜,悉依其他相關內、外部規定辦理。 本政策之訂定、修正或廢止應經董事會同意。 本政策自訂定日起生效施行,修正或廢止時亦同。
一、 本公司「個人資料管理委員會」負責督導及審議個資管理機制,以確保個資管理制度符合法令規定及有效運作與實踐。本公司個人資料管理委員會之組織架構及權責,另依「個人資料管理委員會權責及組織辦法」之規定辦理。
二、 本公司風險管理處負責推動、發展及協助業務相關單位制定個資管理相關機制,並定期檢視本公司個資管理運作狀況。
三、 本公司各單位蒐集、處理、利用及保有個人資料應依個人資料保護法及內部控制相關辦法執行業務。
四、 本公司應將個人資料保護相關議題納入風險管理制度及法令遵循作業。
一、應識別與盤點所處理之個人資料,再依業務涉及個人資料蒐集、處理、利用之流程,評估可能產生之個人資料風險,並根據風險評估之結果,訂定適當之控管機制。
二、基於合法的特定目的,在必要的範圍內公正合法地蒐集、處理及利用所需最低限度的個人資料,並於必要時進行更新以維護個人資料之正確性及完整性,並確保個人資料之安全。
三、應告知當事人法定應行告知事項。
四、個人資料保存年限應依循法令規範期間、契約約定或依執行業務而必須保存之期間,並確保及時和適當的處置,如:嚴謹之權限管控、記錄保存與依時效刪除或停止蒐集、處理或利用等。
五、尊重當事人對其個人資料所能行使之權利,包含:查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集、處理或利用及請求刪除。
六、國際傳輸個人資料須符合主管機關相關規範,且應於適當充分保護之狀況下,將個人資料進行國際傳輸。
七、當個人資料應用於個人資料保護法所允許之例外情形時,應確保其適用性與合法性。
八、建立與實施個人資料保護管理制度,落實個人資料保護。
九、於個人資料保護管理制度運行中,明確界定員工之責任與義務。
十、個人資料蒐集、處理、與利用應適當留存軌跡紀錄。
十一、 當發生個人資料侵害事件時,應儘速依本公司個人資料保護相關規範通報及處理。
十二、 確保向未成年人蒐集的個人資料於利用、處理時,將依法取得監護人之同意,並確保所蒐集資料之隱密性、安全性及完整性。
十三、 應注意利害關係人對個人資料之要求。
十四、 得參酌國際相關法令標準,並考量集團或國內、外分支機構管理需求,另訂定相關規範或控管措施。