個人資料保護管理政策

公勝保險經紀人股份有限公司(以下簡稱本公司)為落實個人資料保護管理並符合我國個人資料保護法(以下簡稱個資法)及英國個人資料保護管理系統(BS10012:2009)之要求,特訂定個人資料保護管理政策(以下簡稱本政策)。本公司個人資料保護管理之目標如下: 1、依我國個資法、個資法施行細則及英國個人資料保護管理系統(BS10012:2009)之要求,保護個人資料蒐集、處理、利用、行銷、銷毀之過程。 2、保護本公司各業務涉及個人資料之安全,免於因外在威脅,或內部人員不當之管理與使用,致個人資料遭受竊取、竄改、毀損、滅失或洩漏等風險。 3、提升對個人資料之保護與管理能力,降低營運風險,並創造可信賴之個人資料保護及隱私環境。 4、為提升同仁個人資料保護安全意識,每年定期辦理個人資料保護宣導教育訓練 5、定期針對業務中涉及個人資料之流程進行風險評估,同時鑑別不可承受風險等級,並展開風險處置。


第一條 個人資料之蒐集與處理

1.1本公司僅基於合法的蒐集目的且有法定原因下蒐集個人資料;

1.2本公司應注意蒐集之個人資料與執行業務有正當合理關連性;蒐集之個人資料種類多寡應注意對當事人隱私是否造成過度侵害;僅在倘不蒐集該項個人資料將無法執行業務之必要考量下蒐集個人資料。

1.3 本公司應當清楚告知當事人,何人會以什麼方式使用他們的個人資料。


第二條 個人資料之蒐集告知或隱私權聲明

2.1個人資料檔案蒐集時,須由蒐集權責單位擬定告知函,並由法遵室審核其適法性及蒐集不過度原則,審核紀錄並應呈主任委員審核再由文管中心保存。

2.2本公司應在蒐集當事人個人資料時提供告知函,提供的方式可能是全文呈現,也可能僅提供摘要和公告全文的連結或出處。

2.3告知函內容須包含下列項目:

2.3.1公司的名稱;

2.3.2蒐集個人資料之目的及個人資料類別;

2.3.3向當事人說明個人資料使用之期間、地區、對象及方式;

2.3.4當事人可以向本公司行使之權利及方式,如可請求查詢、閱覽、製給複製本、補充、更正、刪除、停止蒐集、處理或利用其個人資料者,應如何聯絡本公司權責單位;

2.3.5向當事人說明可自行判斷是否提供個人資料予本公司以及拒絕提供時,讓當事人瞭解對其個人權益之影響。

2.3.6如在網站上蒐集個人資料,其所使用的任何技術(例如cookies)之細節;

2.3.7有關在處理過程中的任何其他資訊,例如本公司如何防護其個資。


第三條 個人資料之利用

3.1本公司原則應在原先蒐集之特定目的必要範圍內利用個人資料,同時對於所保有之個人資料負有保密義務,如有必要為特定目的外之利用者,應符合個資法第二十條之法定要件方可為之;倘有取得當事人書面同意之必要者,本公司亦應依法取得當事人之書面同意。同時確保當事人是在其自由意志且資訊充分的情況下同意。嗣後並確保留下過程中之任何記錄。

3.2如有新的特定目的外之利用行為,權責單位應進行新個資利用行為之盤點及風險評估作業。

3.3資料比對

3.3.1將個人資料與其他個人資料比對以達到執行某種業務目的之情況,例如進一步辦識個人的特徵,將確保比對的個人資料與蒐集告知函之目的相同。

3.3.2如資料比對為法律或主管機關之要求,則由權責單位提出申請,並經單位主管、主任委員核准後,始可提供。

3.4資料提供:本公司應確保提供予第三方個人資料的利用方式符合原先的蒐集告知函內容,如超出原先利用方式者應符合個資法第20條之原因或取得當事人的書面同意。


第四條 維持個人資料之正確性

4.1本公司蒐集當事人個人資料時,應盡可能防止記錄不正確或不完整的個人資料,可運用當事人提供之個人資料進行比對,如確認新進員工填寫之履歷與提供之相關證件相符。

4.2當事人如質疑本公司保有其個人資料之正確性並要求更正其個人資料,應提供當事人適當管道行使。

4.3本公司提供給第三方之有關當事人個人資料是不正確或不完整者,應在補充或更正後將情況告知曾提供之第三方。


第五條 當事人行使個人資料之權利

5.1本公司應確保當事人對其個人資料的相關權利受到尊重,且當事人請求行使此等權利時,本公司會在任何法律規定的處理期限內回覆。

5.2當事人可行使之權利包括個人資料之查詢、閱覽、製給複製本、補充或更正、停止蒐集、處理或利用及刪除。

5.3本公司應提供個人資料窗口,確保正確處理有關個人資料處理的訴怨。


第六條 個人資料之保留及處置:

6.1本公司應規範與個人資料有關之檔案與紀錄之保存期限、依據及銷毀方式。

6.2倘政府法規有規定保存期限,在該期限屆滿前有法定義務應保存;

6.2倘政府法規未規定,而與當事人間有契約關係者,在契約效力存續期間內應保存;

6.3倘政府法規及與當事人間之契約均未規範個人資料之保存期限者,應由各單位依照業務執行態樣自訂一合理之保存期限及正當基礎。

6.4定期將過期檔案與紀錄整理及銷毀,並有留下記錄。


第七條 個人資料的安全控制:

7.1傳輸:

7.1.1個人資料以電子郵件進行傳輸時,應視資料之多寡及重要性採取資訊加密技術執行傳輸。

7.1.2個人資料以紙本方式進行傳輸時,應採取密件、專人傳遞、簽收確認等方式進行。

7.1.3個人資料以傳真模式進行傳輸時,於傳真前應通知對方,並於傳真後立即與對方進行確認。

7.1.4將個人資料傳遞至保險人或受託方者,應視情況透過專線網路或SSH檔案加密傳輸。

7.2存取控制措施:

7.2.1本公司對個人資料之存取應符合個資法、個資法施行細則、英國個人資料保護管理系統等之要求,或與當事人或第三方間之契約內對個資保護及存取使用控管之權責條款。各單位對個人資料之存取限於與其執行業務必要範圍內,任何人未經授權不得存取與執行其業務無涉之個人資料。

7.2.2本公司應針對下列項目進行存取控制措施:

7.2.2.1使用者帳號與密碼管理;

7.2.2.2系統存取控制;

7.2.2.3資料處理系統存取控制;

7.2.2.4網路存取控制。

7.3安全評估:

7.3.1定期執行個資盤點,並維持最新之個人資料類別清單;

7.3.2定期執行風險評鑑,以確認保有個資之高風險,並加以回應;

7.3.3定期執行個資管理系統之內部稽核,以確認系統運作之符合性及落實狀況;

7.3.4定期執行個資相關法規之鑑別,以確認適法性。

7.4管理安全事件:

7.4.1建立個資事件緊急應變流程,並設定事件等級及通報流程;

7.4.2個資安全事件加以記錄,以作為追溯及事故學習之用;

7.4.3建立個資安全事件事故處理、調查評估及溝通協調權責人員,以即時反應。

7.5個資委外

7.5.1本公司遴選委外廠商前,應將廠商之個資防護能力納入遴選標準;

7.5.2簽訂書面契約以明確約定受託方之權利、義務,並要求委外廠商提供適當的個資安全措施;

7.5.3委外廠商如欲複委託其他廠商處理個人資料,應先取得本公司之事前書面同意;

7.5.4委外廠商與複委託廠商締結的契約應要求複委託廠商應具備與委外廠商相同的個資防護措施及遵守原委託契約之規範;

7.5.5對委外廠商進行個資防護之稽核。

7.6個人資料保護組織

7.6.1設立個人資料保護組織,以健全本公司各部門內部控制,提升整體個資保護工作效能與達到符合法規要求;

7.6.2規範個人資料保護組織之責任與職權,並用適當方式公告。