個人資料處理一般規範
1.1 本公司持有之個人資料與保管權責單位如下:
1.1.1 求職者個人資料:人力資源部
1.1.2 員工個人資料:人力資源部
1.1.3 員工健康檢查資料:人力資源部
1.1.4 股東個人資料:財務部
1.1.5 董監事個人資料:總經理辦公室
1.1.6 供應商個人資料:採購部
1.1.7 客戶個人資料:業務部
1.1.8 其他無法歸類者:總經理辦公室
1.2 所有需處理個人資料時,皆需正式向保管單位取得正式授權。個人資料保管單位需造冊列管所有個人資料被處理或利用之情況。
1.3 個人資料之處理作業包括:記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
1.4 各個人資料保管單位需制訂專屬之個人資料管理機制與作業程序。例如:員工個人資料由人力資源單位保管,人力資源單位需要求各類員工通訊錄必須由人力資源單位提供,嚴禁重新蒐集。
1.5 負責保管個人資料之單位如因組織任務變更或其他因素需轉移至其他單位或個人(例如:原保管責任屬專案性質,該專案已結束),其作業程序如下:
1.5.1 原保管單位或原保管人撰寫簽呈
1.5.2 呈送個人資料管理委員會進行討論與表決,若決議結果為反對,則提案退回,維持原況
1.5.3 新保管單位或人員同意
1.5.4 總經理核覆
1.5.5 新舊保管單位進行移交作業,個人資料管理委員會需派員監交,需留下所有相關佐證記錄
1.6 申請處理個人資料之單位因故不再需要時,個人資料保管單位需派員確認該單位已無持有個人資料,且相關人員或資訊系統已無權限再接觸個人資料。
1.7 所有處理個人資料之作業皆需留下完整記錄以及證據,並可歸責於明確之個體(例如:個人或資訊系統):
1.7.1 非數位類個人資料:
1.7.1.1 存放個人資料區域需列為管制區域,所有進出需有權限管制以及進出記錄(紙本記錄以及錄影記錄)。
1.7.1.2 存取個人資料需有過程記錄。
1.7.1.3 若有內部傳遞行為,傳遞過程中,個人資料需有安全保護機制(例如:使用封條),且所有接觸之人員(包括傳遞之人員)皆需有簽名。
1.7.1.4 若有外部傳遞行為:
1.7.1.4.1 組織自行進行:
1.7.1.4.1.1 需有專人全程監送。
1.7.1.4.1.2 目的接收人員需確認資料未經非授權之接觸。
1.7.1.4.2 委外進行:
1.7.1.4.2.1 與受託者簽訂保密合約。
1.7.1.4.2.2 受委託者需提出安全傳遞執行計畫,詳述傳遞所採取之安全措施,並取得委託機關之核可後始可進行。
1.7.1.4.2.3 需有證據可證明每一次之傳遞皆符合委託者之安全要求。
1.7.2 數位類個人資料:
1.7.2.1 存取個體之識別與認證記錄。
1.7.2.2 用以存取個人資料之設備記錄。
1.7.2.3 網路使用記錄。
1.7.2.4 存取個人資料相關功能之使用記錄。
1.7.2.5 存取個人資料之記錄(包括檢視、修改、刪除、列印、另存至其他媒體、…)。
1.8 資訊單位需建制必要之監控機制,對所有數位化之個人資料處理過程進行詳實之記錄,並確保該監控機制不被未授權之人員所操控。組織稽核單位應定期檢視已獲授權之監控機制管理人員是否依規定進行作業,以避免監守自盜之事件發生。
1.8.1 需明確告知員工有監控機制之存在。
1.8.2 所有監控行為必須在符合法令之情況下始可進行,尤其需避免觸犯個人隱私。
1.8.3 個人資料之銷毀:請參考『資料安全暨設備安全管理作業程序』之『媒體淨化』。