聯華電子股份有限公司(以下稱「本公司」)制定「隱私權保護程序 (以下稱「本保護程序」)」之目的,是為保護本公司所蒐集、處理、利用及國際傳輸之個人資料,避免個人資料被竊取、竄改、毀損、滅失或洩漏,致個人隱私權益受到損害。
本公司依照不同蒐集利用目的設定個人資料之保存年限,並依法或依業界標準採取適當的技術和組織上的安全措施,以防止他人個人資料因安全性之侵害所導致意外或非法之毀損、滅失、竄改、未經授權之揭露、存取、傳輸、儲存或其他處理(以下稱「個人資料安全事故」)
3.1 本公司已配置管理之人員及相當資源,定期實施個人資料保護措施之監管作業,以確保公司內部之保護措施具體落實。
3.2 本公司將適時並定期清查公司各單位所保有之個人資料檔案及其蒐集、處理或利用個人資料之作業流程,據以責成各單位建立個人資料檔案清冊及個人資料作業流程說明文件,並進行分級分類管理,例如區分為一般個人資料及特種個人資料。
3.3 本公司將定期評估其因蒐集、處理或利用個人資料可能面臨的法律或其他風險,並訂定適當之管控及因應措施。
3.4 本公司針對資料存取、系統存取、網路存取等,設定有控制機制;針對個人資料檔案處理之相關設備及周邊環境已設有相關控管保護機制,以確保檔案之安全性,不易遭外洩及竊取。個人資料檔案處理,已建立適當之監控措施,確保使用之軟/硬體設備為安全之控管版本,並應用防護及監控軟體進行個人資料保護及記錄。
3.5 個人資料有加密之必要者,本公司將於蒐集、處理或利用時,採取適當之加密措施;個人資料有備份之必要者,本公司將對備份資料採取適當之保護措施。
3.6 傳輸個人資料時,本公司將依不同傳輸方式,採取適當之安全措施。如將個人資料作國際傳輸者,將檢視是否受主管機關限制,並且告知當事人其個人資料所欲國際傳輸之區域,同時對資料接收方為適當監督。
3.7 本公司為維護所保有個人資料之安全,已與本公司聘僱之人員約定保密義務,並就個人資料管理權限設置適當的控管與配置。
3.8 本公司將定期對聘僱之人員施以個人資料保護與管理制度或個人資料法令之相關教育訓練,促使其了解個人資料保護之重要性,以提高蒐集、處理、利用個人資料之適法性及安全性意識,妥善保護個人資料。
個人資料蒐集、處理或利用作業程序
4.1 個人資料之蒐集、處理或利用,應以誠實信用方式為之,不逾越特定目的之必要範圍、並與蒐集之特定目的有正當合理關聯。
4.2 蒐集或處理個人資料時,應有特定目的並符合特定情形;利用個人資料時,應於蒐集之特定目的必要範圍內並與蒐集之特定目的相符,不得非法利用個人資料。
4.3 本公司各單位應定期檢視個人資料之有效性及可用性,刪除或銷毀不必要之個人資料。如保有個人資料蒐集之特定目的消失、期限屆滿或違法蒐集時,各單位應主動或依當事人之請求刪除或銷毀該個人資料。但特定目的消失或期限屆滿時,因執行業務所必須或經當事人書面同意者,不在此限。各單位於刪除或銷毀個人資料時,應以適當方式記錄並確認其執行結果。
4.4 個人資料之蒐集、處理或利用有違法之情事時,各單位應主動或依個人資料當事人請求停止蒐集、處理或利用該個人資料。
4.5 各單位保有個人資料之正確性有爭議、蒐集之特定目的消失、期限屆滿,各單位應主動或依個人資料當事人之請求停止處理或利用該個人資料。但因執行業務所必須或經個人資料當事人書面同意,於個人資料正確性有爭議時並經註明其爭議者,不在此限。
4.6 個人資料已停止處理或利用者,各單位應確實記錄。
5.1 事故發生之調查與應變程序
5.1.1 本公司各單位獲報並經初步確認屬個人資料安全事故後,應立即通報至本公司個人資料保護推動執行小組(以下稱「本公司個資小組」),後續再由本公司個資小組依法進行通報及通知。
5.1.2 本公司個資小組於接獲通報後,應視危機態勢,動員組織成立危機應變小組辦理下列事項:(1)於接獲通報後24小時內進行事故分析。事故分析應包含確認事故之種類、事故嚴重程度、影響的範圍、媒體露出風險控管以及發生原因。(2)於事故分析後,應立即研擬事故應變處理程序及因應措施避免事故擴大,並採取證據保全措施,避免異動或改變原始磁碟及證據。(3)於事故查明後,應即以適當方式通知當事人被侵害之事實以及已採取之措施。(4)於事故查明後,依法及時通報。
5.1.3 本公司各單位於個人資料安全事故發生後,應注意媒體報導,如有輿論關注須對外說明及澄清,應由危機應變小組與企業訊息處密切合作加以因應。
5.1.4 依據個案情況,本公司將評估通報個人資料安全事故及通知當事人之必要性,並依相關適用的個人資料保護法規通報及通知。
5.2 於本公司完成5.1程序後,各單位應檢討事故發生之原因並擬定改善計畫,以防免事故再次發生;必要時,得重新進行風險評估及個人資料管理機制之設計。各單位應將事故檢討及改善計畫,製作個人資料安全事故處理報告書,經該單位一級主管核定後,送交本公司個資小組備查;必要時,得由本公司個資小組召集人召開制度檢視會議。
5.3 事故發生之處分措施
本公司對於違反本保護程序之同仁採取零容忍之政策,將依照本公司之「獎懲辦法」施以懲戒處分。具體懲戒方式,除了記警告、記過以外,若同仁非業務所需且未經權責主管同意,而濫用他人之個人資料,視為該當勞基法第12條第4款「違反勞動契約或工作規則,情節重大者」之情形,本公司得不經預告即予以解僱。另外,本公司亦可能對於違規同仁提出民事、刑事追訴,以及包含假扣押、假處分或聲請核發秘密保持令等保全程序。
6.1 當事人依相關適用的個人資料保護法規行使權利時,應填具本公司之隱私權申請表並檢附相關證明文件。
6.2 於當事人提出請求權時,本公司應確認當事人或其代理人之身分,並得要求當事人提供相關資訊以利身分識別,於相關適用的個人資料保護法規所定期間內予以回覆;如符合法定得拒絕其請求之事由,應附理由通知當事人。
6.3 當事人權利行使應由當事人本人提出申請。如本人無法親自提出申請,得委由代理人為之。委由代理人申請時,應出具委託書及雙方之證明文件。
6.4 當事人請求更正或補充其個人資料者,應請當事人載明記載錯誤或不完整事項、更正或補充之理由,並提出相關證明文件。
7.1本公司委託第三人蒐集、處理或利用個人資料者,應對受託者為適當之監督。
7.2 選擇委託對象時,應將受託者之個人資料安全維護措施辦理情形列為評選項目。
7.3 選定受託者後,應於委託契約載明以下監督事項及監督方式:(1)預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間;(2)受託者採取之安全維護措施;(3)有複委託者,其約定之受託者;(4)受託者或其受僱人違反相關適用的個人資料保護法規時,應向本公司通知之事項及採行之補救措施;(5)本公司如對受託者有保留指示者,其保留指示之事項;(6)委託關係終止或解除時,個人資料載體之返還,及受託者履行委託契約以儲存方式而持有之個人資料之刪除。
7.4 本公司應定期確認受託者執行之狀況,並將確認結果記錄之;必要時,得親自或委託專業人員進行實地訪查後,以書面敘明理由,請受託者限期改善;或請受託者依照執行現況自我檢核並提供作業說明及佐證資料。
7.5 委託關係終止或解除時,應要求受託者依約定方式確實刪除、銷毀或返還因執行受託業務所保有之個人資料,並提供刪除、銷毀或返還個人資料之時間、方式、地點等紀錄;必要時,得進行實地查訪。
8.1與隱私權相關諮詢及本保護程序之維護與解釋,由本公司法務暨法遵處當責。
8.2 本公司應設置個人資料保護推動執行小組,本公司個資小組屬常態任務編組,置召集人兩人,由法務暨法遵處主管與企業安全處主管擔任,負責推動、協調及督導本公司個人資料保護管理業務,各單位個人資料保護聯絡窗口為本公司個資小組當然成員。本公司個資小組職掌如下:(1)本公司個人資料保護管理制度及配套措施之擬議;(2)配合本公司法務暨法遵處辦理個人資料保護相關法規專業訓練及宣導作業;(3)個資外洩事件通報暨危機處理;(4)其他個人資料保護執行事項。
8.3 個人資料之蒐集利用及相關保護措施,由各蒐集、處理、利用及國際傳輸個人資料之單位當責。各單位應設置個人資料保護聯絡窗口辦理下列事項:(1)各單位個人資料保護業務之協調聯繫;(2)各單位個人資料安全事件之通報;(3)各單位個人資料紀錄之彙整。
8.4 本公司個人資料保護管理作業之稽核工作,包括以下項目:(1)審查內部各單位之個人資料保護運作情形;(2)記錄並報告稽核結果;(3)妥善保存稽核文件,並遵守保密規定;(4)追蹤改善措施。
8.5 個人資料保護推動執行小組將定期向董事會層級匯報其工作成果。