隱私權聲明
美商鄧白氏股份有限公司台灣分公司
個人資料檔案安全維護管理流程
Copyright Dun & Bradstreet, Inc. All rights reserved.
Any information or other products received through this site are subject to the Dun & Bradstreet Web site terms and conditions and privacy policy applicable to this site.
一、前言
為落實個人資料檔案之安全暨隱私維護與管理,並防止個人資料遭竊取、竄改、毀損、滅失或洩漏,D&B蒐集、處分及利用個人資訊,本公司(”D&B”)已參酌台灣個人資料保護法(”個人資料保護法”)之規定,制定相關管理程序,並要求D&B之經理人、受任人、代理人、雇員、供應商、協力廠商及業務合作夥伴共同遵循。
二、個人資料檔案之安全維護管理措施
(一) 管理人員及資源配置
D&B已配置一至三名適當人員,負責規劃、檢討及修正個人資料檔案之安全維護管理措施,並定期向負責人提出報告。D&B已訂定個人資料檔案安全維護稽核機制,定期或不定期檢查相關執行情形,檢查結果並應向負責人提出報告。
(二) 個人資料之界定
所稱個人資料,係指自然人之姓名、出生年月日、國民身分證統一編號/護照號碼、教育、職業、聯絡方式、財務情況、社會活動及其他得以直接識別或經與其他資料對照、組合、連結等方式,間接識別該特定個人之個人或專業資料。無論該個人資料係由D&B(包括D&B之經理人、受任人、代理人、雇員及職位應徵者)或其客戶、顧問、承包商、供應商、協力廠商或業務合作夥伴提供者,均非所問。
D&B已檢視並確認所蒐集、處理及利用之個人資料,並未包含法第6條所定之個人資料及其特定目的。
(三) 個人資料蒐集、處理及利用之程序
除相關內部規範外,D&B已根據台灣個人資料保護法之規定,針對不同個人資料取得情形及場合,擬定個資告知事項範本,俾供D&B相關人員按照下列程序,進行個人資料之蒐集、處理及利用:
1、 檢視個人資料之蒐集或處理,是否具備特定目的,或得依個人資料保護法第20條第1項但書之規定,得為特定目的外之利用。
2、 檢視蒐集、處理個人資料之特定目的,是否符合免告知之事由。
3、 依據個人資料蒐集之情形,採取適當之告知方式。
4、 確認個人資料之蒐集或處理,是否需取具該個人之書面同意。
5、 進行個人資料國際傳輸前,檢視行政機關有無依個人資料保護法第21條規定為限制國際傳輸之命令或處分,並遵循之(如有)。
6、 主動或依該個人之請求更正或補充個人資料,以維護個人資料之正確。個人資料正確性有爭議者,亦主動或依當事人之請求停止處理或利用該個人資料。但執行職務或業務所必須並註明其爭議或經當事人書面同意者,不在此限。個人資料正確性有爭議者可透過【eservice@dnb.com】與我司聯絡提出資訊更改申請。
7、 除為執行職務或業務所必須或經當事人書面同意者外,依該個人之請求,刪除、停止處理或利用該個人資料。
(四) 個人資料之風險評估及管理機制
D&B業已採取內部軟體及硬體防護機制,以針對個人資料之下列不同存儲形式,確實預防個人資料遭竊取、竄改、毀損、滅失或洩漏,並於一定期間內保存內部人員之資料使用紀錄及存取軌跡:
1、 紙本資料檔案之安全保護設施。
2、 電子資料檔案存放之電腦或自動化機器相關設備,配置安全防護系統或加密機制。
3、 電腦、自動化機器或其他存放媒介物需報廢汰換或轉作其他用途時,應採取適當之銷毀或防範措施,避免洩漏個人資料。
D&B已界定個人資料之範圍與蒐集、處理及利用流程,並分析評估可能發生之風險後,訂定適當之管控措施。
D&B亦要求其人員處理及利用個人資料時應遵行下列程序:
1、 D&B已將蒐集、處理、利用個人資料之特定目的、法律依據及其他相關保護事項,存放於資料共用槽,俾使D&B所屬人員均能知悉。
2、 不得將個人資料揭露或提供予任何未授權人員(包括依據該人員之業務範圍,無取得該個人資料之權限,或無知悉該個人資料之需要者)。
3、 確保使用電腦系統、可攜式電子設備、筆記型電腦或其他存儲設備時,應遵守D&B制定之所有安全措施及內部控制規定,其中包括不將該等資訊放在可能會遺失或被盜之處、不將資訊備份在共用磁碟機上、定期修改密碼且不得向他人告知或與他人分享登入帳號及密碼(若有分享帳號及密碼之需要,團隊領導及/或密碼及帳號持有人有義務將其範圍限制在僅為業務所需,並要求相關人員保密)。
4、 只有獲得授權之人,始得存取個人資料;詳細資訊應參閱「團隊成員資料隱私政策」。
5、 如果發現有任何人違反D&B之隱私權政策,將立即透過「事故回應政策」規定之機制向管理人員提出通報。
6、 不與同事在公共場合(如電梯、機場、餐廳或在休息室、洗手間等D&B辦公場所內之公共區域)以任何方式討論有關個人資料之資訊。如有討論必要時,亦務必小心謹慎。。
7、 要求所屬人員妥善保管個人資料之儲存媒介物,並透過簽訂保密協議或制定行為規範/員工守則之方式約定伊等之保管及保密義務。
8、 D&B為確保個人資料之隱私及安全目的,所要求踐行之其他管理措施。
(五) 事故之預防、通報及應變機制
D&B為因應所保有之個人資料被竊取、竄改、損毀、滅失或洩漏等事故,將採取下列防備措施:
1、 採取適當之應變措施,以控制事故對個人之損害,並通報有關單位。
2、 立即展開事故調查程序,查明事故之原因及狀況,並依法以適當方式通知當事人。
3、 研議、變更或修改預防機制,以避免類似事故再次發生。
(六) 認知宣導及教育訓練
D&B將定期或不定期對所屬人員施以基礎認知宣導或專業教育訓練,使其明瞭個人資料保護相關法令之規定、所屬人員之責任範圍及應遵守之各種個人資料保護事項方法或管理措施。
(七) 業務終止後之個人資料處理方法
根據「資料管理規範」之規定無使用或保管個人資料之需要時,應參閱「機密資訊處置及銷毀政策」予以謹慎處理。
即使與D&B終止或解除契約關係,對於個人資料仍負有持續之保密義務。未經D&B明確之書面批准,不得揭露或提供該等資料予任何第三人。