個人資料檔案安全維護計畫

版本：20160810第一版

1. 保全業之組織規模
   1. 組織型態：股份有限公司
   2. 資本額：新臺幣 3,836,530,750元整
   3. 公司地址：台北市內湖區行愛路128號
   4. 代表人（負責人）：林伯峰
   5. 員工人數：約1,800人
2. 個人資料檔案之安全維護管理措施
   1. 配置管理之人員及相當資源
      1. 管理人員：
         1. 配置人數：特成立「個資法因應小組」，由總經理指定召集人及執行秘書各一人，其餘成員為各本部協理。
         2. 職責：負責規劃、訂定、修正與執行計畫或業務終止後個人資料處理方法等相關事項。
      2. 預算：每ㄧ年約新臺幣200萬元。
      3. 個人資料保護管理政策：遵循個人資料保護法關於蒐集、處理及利用個人資料之規定，並確實維護與管理所保有個人資料檔案安全，以防止個人資料被竊取、竄改、毁損、滅失或洩漏。
   2. 界定蒐集、處理及利用個人資料之範圍
      1. 特定目的：保全服務、行銷、契約或類似契約或其他法律關係事務、消費者客戶管理與服務、人事管理、採購與供應管理。
      2. 個人資料：本計畫所稱之個人資料，係指自然人(如:客戶、員工等)之姓名、出生年月日、身分證統一編號、婚姻、家庭、職業、健康檢查、財產狀況、聯絡方式等，及其他得以直接或間接識別該個人之資料。
   3. 風險評估及管理機制
      1. 風險評估
         1. 經由本公司或各營業處所電腦下載或外部網路入侵而外洩。
         2. 經由接觸書面契約書類而外洩。
         3. 本公司與各營業處所間或受委託之公司或商業間互為傳輸時外洩。
         4. 員工故意竊取、竄改、毁損或洩漏。
      2. 管理機制
         1. 藉由使用者代碼、識別密碼設定及文件妥適保管。
         2. 定期進行網路資訊安全維護及控管。
         3. 電磁資料視實際需要以加密方式傳輸或透過加密通道傳送。
         4. 加強對員工之管制及設備之強化管理。
   4. 事故之預防、通報及應變機制
      1. 預防：
         1. 本公司員工如因工作執掌而須輸出、輸入個人資料時，均須鍵入其個人之使用者代碼及識別密碼，同時在使用範圍及使用權限內為之。
         2. 非承辦之人員參閱契約書類時應經指定之管理人員之同意。
         3. 個人資料於本公司與各營業處所間或受委託之公司或商業間互為傳輸時，加強管控避免外洩。
         4. 加強員工教育宣導，並嚴加管制。
      2. 通報及應變：
         1. 發現個人資料遭竊取、竄改、毀損、滅失或洩漏即向本公司指定之管理人員通報，並立即查明發生原因及責任歸屬，依實際狀況採取必要措施。
         2. 對於個人資料遭竊取之客戶，應儘速以適當方式通知使其知悉，並告知本公司已採取之處理措施及聯絡電話窗口等資訊。
         3. 針對事故發生原因研議改進措施。
         4. 發生重大個人資料事故時，立即以書面通報當地直轄市或縣（市）主管機關。
   5. 個人資料蒐集、處理及利用之內部管理措施
      1. 直接向當事人蒐集個人資料時，應明確告知以下事項：
         1. 公司名稱。
         2. 蒐集之目的。
         3. 個人資料之類別。
         4. 個人資料利用之期間、地區、對象及方式。
         5. 當事人得請求閱覽、製給複製本、補充或更正、停止蒐集、處理、利用或刪除其個人資料。
         6. 當事人得自由選擇提供個人資料時，不提供將對其權益之影響。
      2. 所蒐集非由當事人提供之個人資料，應於處理或利用前向當事人告知個人資料來源及前項應告知之事項。前述告知事項，得於首次對當事人利用時併同為之。
      3. 與客戶簽訂之保全契約完成履行、解除或終止時，除因執行職務或業務所必須或經客戶書面同意者，應主動刪除或銷毀，並留存相關紀錄。
      4. 利用個人資料為行銷時，當事人表示拒絕行銷後，應立即停止利用其個人資料行銷。
      5. 當事人表示拒絕行銷或請求閱覽、製給複製本、補充或更正、停止蒐集、處理、利用或刪除其個人資料時，聯絡窗口為本公司客服中心，（如為本公司員工個人資料，聯絡窗口為本公司人資部），聯絡電話為：0800-668-850，並將聯絡窗口等資料公告於本公司，如有網站者，並揭露於網頁。如認有拒絕當事人行使上述權利之事由，應附理由通知當事人。
      6. 負責保管及處理個人資料檔案之人員，其職務有異動時，應將所保管之儲存媒體及有關資料檔案移交。
      7. 本公司員工如因其工作執掌相關而須輸出、輸入個人資料時，均須鍵入其個人之使用者代碼及識別密碼，同時在使用範圍及使用權限內為之，其中識別密碼並應保密，不得洩漏或與他人共用。
      8. 由指定之管理人員定期清查所保有之個人資料是否符合蒐集特定目的，若有非屬特定目的必要範圍之資料或特定目的消失、期限屆滿而無保存必要者，即予刪除、銷毀或其他停止蒐集、處理或利用等適當之處置，並留存相關紀錄。
      9. 本公司如有委託他人蒐集、處理或利用個人資料時，應依個人資料保護法施行細則第八條規定對受託者為適當之監督並明確約定監督事項及方式。
      10. 如中央主管機關依個人資料保護法第二十一條規定，對保全業為限制國際傳輸個人資料之命令或處分時，本公司應通知所屬人員遵循辦理。
      11. 所蒐集之個人資料如需作特定目的外利用，必須先行檢視是否符合個人資料保護法第二十條第一項但書規定
   6. 設備安全管理、資料安全管理及人員管理措施
      1. 設備安全管理
         1. 建置個人資料之有關電腦、自動化機器相關設備、可攜式設備，於保養維護或更新設備時，並應注意資料之備份及相關安全措施。
         2. 建置個人資料之個人電腦，不得直接作為公眾查詢之前端工具。
         3. 重要個人資料備份應異地存放，並應置有防火設備或門禁系統等防護設備，以防止資料滅失或遭竊取。
         4. 電腦、自動化機器或其他存放媒介物需報廢汰換或轉作其他用途時，應檢視該設備所儲存之個人資料是否確實刪除。
      2. 資料安全管理
         1. 電腦存取個人資料之管控：
            1. 個人資料檔案儲存在電腦硬式磁碟機上者，應在個人電腦設置識別密碼、保護程式密碼或相關安全措施。
            2. 個人資料檔案使用完畢應即退出，不得任其停留於電腦螢幕上。
            3. 定期進行電腦系統防毒、掃毒之必要措施。
            4. 重要個人資料應另加設管控密碼，非經本公司權責主管核可，並取得密碼者，不得存取。
         2. 紙本資料之保管：
            1. 對於各類契約書件及個人資料表應指定專人管理並存放於公文櫃或檔案室內並上鎖，員工非經權責主管核可不得任意複製或影印。
            2. 對於記載個人資料之紙本丟棄時，應先以碎紙設備進行處理。
      3. 人員管理措施
         1. 本公司依業務需求，適度設定所屬人員（如主管、非主管人員）不同之權限，以控管其接觸個人資料之情形，並定期檢視權限內容之適當性及必要性。
         2. 本公司檢視各相關業務之性質，指派人員負責規範個人資料蒐集、處理及利用等流程。
         3. 本公司員工應妥善保管個人資料之儲存媒介物，執行業務時依個人資料保護法規定蒐集、處理及利用個人資料。
         4. 員工離職時，應刪除離職人員電腦權限。其因執行業務所持有之個人資料應辦理交接，不得在外繼續使用，並簽訂保密切結書（如在任職時之相關勞務契約已有所約定時，亦屬之）。
         5. 本公司與員工所簽訂之相關勞務契約均列入保密條款，以確保其遵守對於個人資料內容之保密義務。
         6. 本公司員工每三個月應變更識別密碼一次，並於變更識別密碼後始可繼續使用電腦。
   7. 認知宣導及教育訓練

      本公司應定期或不定期對本公司所屬人員施以個資保護之基礎認知宣導或專業教育訓練，使其明瞭個人資料保護相關法令規定、責任範圍及應遵守之相關管理措施。

   8. 資料安全稽核機制
      1. 本公司每半年定期或不定期辦理個人資料檔案安全維護稽核，查察本公司是否落實本計畫規範事項，針對查察結果不符合事項及潛在不符合之風險，應規劃改善與預防措施，並確保相關措施之執行。
      2. 前項稽核結果應向本公司負責人報告，並留存相關紀錄，其保存期限至少五年。
   9. 使用記錄、軌跡資料及證據保存

      本公司應採行適當措施，留存個人資料使用紀錄、自動化機器設備之軌跡資料或其他相關之證據資料，其保存期限至少五年。

   10. 個人資料安全維護之整體持續改善
       1. 本公司將隨時依據計畫執行狀況，社會輿情、技術發展及相關法令修正等事項，檢討本計畫是否合宜，並予必要之修正。
       2. 針對個資安全稽核結果有不符合法令之虞者，規劃改善與預防措施。
   11. 業務終止後之個人資料處理方法

       公司業務終止後，所保有之個人資料不得繼續使用，並依實際情形採下列方式處理，並留存相關紀錄至少五年：

       1. 銷毀：銷毀之方法、時間、地點及證明銷毀之方式。
       2. 移轉：移轉之原因、對象、方法、時間、地點及受移轉對象得保有該項個人資料之合法依據。
       3. 其他刪除、停止處理或利用個人資料：刪除、停止處理或利用之方法、時間或地點。

性騷擾防治法

1. 目的：為提供受僱者及求職者免於性騷擾之工作及服務環境，及保護被害人，並採取適當之預防、糾正、懲戒及處理措施，以維護員工、被害人權益及隱私，本公司特依「性別工作平等法」，行政院勞工委員會頒佈「工作場所性騷擾防治措施申訴及懲戒辦法訂定準則」，及「性騷擾防治法」等相關法令，制訂本辦法。
2. 適用：本公司全體員工及求職者。
3. 定義：
   1. 本辦法所稱性騷擾，係指員工於執行職務時，任何人(含各級主管、員工、客戶…等)對其具有下列行為：
      1. 因性別差異所產生侮辱、藐視或歧視之態度及行為。
      2. 與性有關之不適當、不悅、冒犯性質之語言、身體碰觸或性要求。
      3. 以性行為或性有關之行為為交換報償之條件。
      4. 以威脅或懲罰之手段要求性行為或與性有關行為。
      5. 猥褻或性侵害行為。
      6. 展示具性意涵或性誘惑之圖片、文字、聲音、影片或陳列物。
      7. 其他合於性別工作平等法第十二條所定義之行為、語言及動作。
   2. 當事人：申訴人及被申訴人。
   3. 性騷擾申訴處理委員會：簡稱委員會。
4. 權責：
   1. 本辦法之擬修訂：人力資源部。
   2. 本辦法之核定：總經理
5. 作業流程
   1. 申訴流程：
      1. 書面申訴：事實發生後→當事人具名書面向人力資源部申訴。
      2. 口頭申訴：口頭向主管或單位所屬上級主管申訴→主管受理→糾正及補救措施→知會人力資源部備案。
6. 作業規定
   1. 申訴及處理：
      1. 本公司由人力資源部負責性騷擾防治措施推動、申訴、與懲戒相關事項，並 為申訴窗口。受理電話：人力資源部主管電話、電子信箱：hr@sks.com.tw。
      2. 向人力資源部提出申訴， 原則上應以具名書面為之，如以言詞提出申訴者，受理單位主管應作成書面紀錄，經向申訴人朗讀或使其閱讀，確認其內容無誤後，由申訴人簽名或簽章。
      3. 書面申訴應由申訴人簽名或簽章，並載明下列事項：
         1. 申訴人姓名、服務單位及職稱、住居所、聯絡電話、申訴日期。
         2. 有代理人者，應檢附委任書，並載明其姓名、住居所、聯絡電話。
         3. 申訴之事實、內容及可供調查之證人、證物等證據。
      4. 人力資源部於受理申訴後，應於七天內開始調查，一個月內調查完竣；但重大事件得於二個月內完成調查並提出報告，並於必要時得延長一個月，但須事先通知當事人。
      5. 人力資源部為處理性騷擾申訴事宜，必要時得呈報總經理成立臨時性組織「性騷擾申訴處理委員會」：
         1. 人力資源部主管為為當然成員(主管有迴避事由，則由總經理決定)，另推薦總公司或分支單位公正主管或外部專業人士3~5人共同組成，其中女性成員比例不得低於二分之ㄧ。
         2. 性騷擾申訴處理委員會成員若與當事人有配偶、前配偶、四親等內之血親、三親等內之姻親或曾與有此關係為事件之當事人時，應自行迴避。
         3. 前項人員應迴避而不自行迴避，或就同一申訴事件雖不具前項關係但因有其它具體事實，足認其執行職務有偏頗之虞者，當事人得以書面舉其原因及事實，向委員會申請令其迴避。
         4. 委員會作成決議前，得由申訴人或其授權代理人以書面撤回其申訴；申訴經撤回者，委員會應作成不受理之決議結案，申訴人不得就同一事由再為申訴。
      6. 委員會受理申訴案件，發現被申訴人係本公司所屬員工以外之人時，應移請法務室協助申訴人依法行使法律權利。
      7. 參與申訴案件之調查及決議人員，對於處理內容應予保密，以確保當事人之隱私權；違反者由主任委員解除其選、委任(主任委員違反則由總經理決定)，並得視其情節依相關規定予以懲處及追究相關責任。
      8. 委員會調查申訴案件時，應以公正、客觀立場，予當事人及證人等關係人充份陳述之機會，並於調查過程中視當事人身心狀況，轉介專業機構提供輔導治療。
      9. 委員會對於已進入司法程序之申訴案件，或經申訴人書面請求時，得為暫緩調查之決議。於調查完誜後，應以三分之二以上委員出席、出席委員過半數同意(可否同數時，取決於主席)，為附具理由之決議，作成書面記錄密件送達當事人再密封存檔保存 2 年。
      10. 員會之決議，如有
          1. 應迴避之委員未迴避者。
          2. 有事實足認，為決議之證物係偽造或變造，或為決議基礎之證人虛偽陳述者。
          3. 原決議就足以影響決議之重要證物、證言漏未斟酌，或於決議後始發現足以影響決議之證物、證人者。
          4. 原決議嚴重違背經驗法則或論理法則者。
          5. 決議之結果與理由矛盾者。
          6. 決議有違背法律強制規定之情事者。當事人得於收受委員會之決議書後二十日內，或知悉該等事實起二十日內，以書面具體表明異議之理由向委員會申覆。當事人未具體表明申覆理由時，委員會得逕為駁回申覆之決議，委員會如認該申覆有理由時，應報請總經理重啟調查，申覆調查與決議之程序，準用原申訴程序規定。
   2. 懲戒
      1. 性騷擾行為經調查屬實者，或性騷擾行為經證實有誣告之事實者，委員會視情節輕重，依獎懲辦法，作成獎懲建議送請相關單位依規定獎懲，相關單位於無正當理由時，不得違反委員會之建議。
      2. 性騷擾行為如涉及刑事責任時，轉由法務室移送法辦。
   3. 為防止及處理性騷擾情事之發生，相關單位應配合下列事項：
      1. 總公司各部室及各分支單位主管應妥適利用集會、電子郵件或內部文件等各種傳遞訊息之機會與方式，加強對所屬員工有關性騷擾防治措施及申訴管道之宣導。
      2. 培訓中心適當規劃性別平等及性騷擾防治相關課程，員工均有參與之義務，無故不參加者應簽報懲處。
      3. 人力資源部對性騷擾行為應採取追縱、考核及監督，以確保懲戒或處理措施有效執行，並避免相同事件或報復情事發生
7. 性騷擾防治法規定之踐行

   本公司如遇有性騷擾防治法第 13 條情形，即該法所訂之被害人向本公司申訴本公司員工對其為性騷擾，或主管機關將被害人之申訴移請本公司為調查時，本公司將依據該條文規定展開調查，其調查程序及懲戒，准用本辦法之規定，本公司並依法於期限內，將該調查結果以書面通知當事人及主管機關。

8. 附則：
   1. 本辦法經總經理核准後公告實施，修改時亦同。
   2. 自 2009 年 11 月 24 日公告實施。
9. 附件：
   1. 性騷擾申訴表。