個資保護政策

個人資料保護政策

為規範本基金個人資料(下稱個資)之蒐集、處理及利用等行為，以避免隱私權受侵害，並促進個資之合理利用，且符合個人資料保護法及其施行細則(下稱個資法)之要求，期能落實個資之保護及管理，特訂定個資保護管理政策(下稱本政策)。

1.1 個資保護政策
   1.1.1 恪遵個資法令規章，執行各項個資作業
            依據個資法、本基金合約及本基金個資管理規範執行各項個資作業。
   1.1.2 強化個資保護教育，提升個資保護認知
            督導員工落實個資保護工作，建立「個資保護，人人有責」觀念，定期辦理適當個資保護訓練，以提高個資保護意識。員工若違反個資保護相關規定，依人員獎懲相關規定究責。
   1.1.3 落實個資保護規範，確保公司持續營運
            本基金全體員工應貫徹執行個資保護要求，保護個資免於因外在威脅或內部人員不當管理，遭受外洩、破壞或遺失等風險，並持續管控、審查及稽核個資保護工作，達到永續經營目的。
1.2 個資保護目標
   1.2.1 本基金依個資法之要求，於個資蒐集、處理、利用、儲存、傳輸、銷毀之各個過程中實施保護措施。
   1.2.2 本基金為管理個資之需求，建立管理組織，制訂、推動、實施個資保護管理。
   1.2.3 保護本基金個資之安全，免於因外在威脅，或內部人員不當之管理與使用，致遭受竊取、竄改、毀損、滅失或洩漏等風險。
   1.2.4 提升同仁個資保護與管理能力，定期辦理個資保護宣導教育訓練，以降低營運風險並創造可信賴之個資保護及隱私環境。
   1.2.5 本基金依相關法律要求及規定，克盡個資保護之目標及義務，並且維護及落實個資管理規範。
   1.2.6 依適用的法律、規定、契約及或專業責任，以及個人及其他主要利害關係人的利益，適時改進個資管理機制。
   1.2.7 定期針對個資之作業流程進行風險評鑑，鑑別可承受之風險等級，並針對不可接受之風險進行風險處理。
1.3 個資保護原則
   1.3.1 公平及合法的處理。
   1.3.2 僅為了特定目的取得，且不進行不合於該目的之處理。
   1.3.3 適當、相關且不過度。
   1.3.4 保持正確及最新。
   1.3.5 不保存超過需求的時間。
   1.3.6 遵循法定的個人權利包括個資當事人對其資料的存取。
   1.3.7 確保安全。
   1.3.8 不將資料傳輸到法令所不允許及沒有足夠保護的國家。
1.4 個資保護組織
   1.4.1 為有效執行個資保護與管理各項工作，應成立個資保護管理組織(組織成員應包含高階主管)，規範本基金內所有成員之責任與義務，防止個資被竊取、竄改、毀損、滅失或洩漏，並遵循法令法規及持續有效落實個資保護最佳實務。
   1.4.2 確認相關人員在PIMS內之職責及責任。
1.5 個資之蒐集與處理
   1.5.1 本基金因營運所需取得或蒐集之包括但不限於個人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動..等個資，應遵循我國個資保護相關法令。
   1.5.2 不過度且符合目的、相關且適當並公平與合法地從事個資之蒐集與處理。
   1.5.3 僅在法律規定及本基金業務活動內蒐集最少量的個資，並且不處理過多的個資。
   1.5.4 在業務活動的過程中僅於特定目的及個資類別內取得個資，並且只進行合於組織目的之蒐集、處理及利用。
   1.5.5 僅處理與本基金業務內相關且適當的個資。
   1.5.6 本著合法、公平、公正、公開的合理處置原則，進行蒐集、處理及利用必要之個資，且建立相關管理制度合理地處理所取得之個資。
1.6 個資之利用及國際傳輸
   1.6.1 本基金於利用個資時，除需依個資法之特定目的必要範圍內為之外，如需為特定目的以外之利用時，將依據個資法第二十條之規定辦理；倘有需取得當事人同意之必要者，本基金應依法取得當事人之同意。
   1.6.2 本基金所蒐集、處理之個資，應遵循我國個資相關法規及本基金PIMS之規範，且個資之使用為本基金營運或業務所需，方可為本基金承辦同仁利用。
   1.6.3 本基金取得之個資，如有進行國際傳輸之必要者，應遵不違反國家重大利益、不以迂迴方法向第三國傳輸或利用個資規避個資法之規定等原則辦理，倘國際條約或協定有特別規定 、或資料接受國對於個資之保護未有完善之法令致有損害當事人權益之虞者，本基金將不進行國際傳輸，以維護個資之安全。
   1.6.4 僅在合法及適當保護狀況下傳送個資至其它國家或地區。
1.7 個資之調閱與異動
      當本基金接獲個資調閱或異動之需求時，應依個資法及本基金所訂之程序，於合法範圍內進行當事人之個資查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集、處理、利用、請求刪除。
1.8 個資之例外應用
   1.8.1 遵守個資保護相關法規，包含其它法規豁免例外應用。
      1.8.1.1 本基金對業務上所擁有之個資負有保密義務，除當事人要求查閱或有下列情形外，應符合個資法第二十條及相關法令規定，並以正式公文查詢，本基金不得對第三人揭露：
         1.8.1.1.1 司法機關、監察機關或警政機關因偵查犯罪或調查證據所需者。
         1.8.1.1.2 其它政府機關因執行公權力並有正當理由所需者。
         1.8.1.1.3 與公眾生命安全有關之機關(構)為緊急救助所需者。
   1.8.2 本基金對個資之利用，除個資法第六條第一項所規定資料外，應於蒐集之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利用：
         1.8.2.1.1 法律明文規定。
         1.8.2.1.2 為增進公共利益。
         1.8.2.1.3 為免除當事人之生命、身體、自由或財產上之危險。
         1.8.2.1.4 為防止他人權益之重大危害。
         1.8.2.1.5 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
         1.8.2.1.6 經當事人同意。
         1.8.2.1.7 有利於當事人權益。
1.9 個資之保護
   1.9.1 本基金應建立與實施PIMS，以確認本政策之實行；全體人員及委外廠商應遵循PIMS之規範與要求，並定期審查PIMS之運作。
   1.9.2 確保所有個資安全，建立相關安全控管措施。
   1.9.3 個資檔案應建立管理制度，分級分類管理，並針對接觸人員建立安全管理規範。
   1.9.4 為確保所有個資安全，應強化個資檔案資訊系統之存取安全，防止非法授權存取，維護個資之隱私性，應建立安全保護機制，並定期查核。
   1.9.5 個資檔案儲存於個人電腦者，應於該電腦設置可辨識身分之登入通行碼，並視業務及重要性，考量其它輔助安全措施。
   1.9.6 個資輸入、輸出、存取、更新、銷毀或分享等處理行為，應釐定使用範圍及調閱或存取權限。
   1.9.7 本基金各部門如遇有個資檔案發生遭人惡意破壞、毀損或作業不慎等安全事件，應進行緊急因應措施，並依本基金緊急應變通報程序辦理。
   1.9.8 本基金係以嚴密之措施、政策保護當事人之個資，包括本基金之所有同仁，均受有完整之個資法及隱私權保護之教育訓練。倘有洩露個資之情事者，將依法追究其民、刑事責任。
   1.9.9 本基金之委外廠商或合作廠商與本基金業務合作時，均應簽訂保密契約，使其充分瞭解個資保護之重要性及洩露個資之法律責任。倘有違反保密義務之情事者，將依法追究其民事及刑事責任。