为符合「个人资料保护法」及相关法令规范,本公司就个人资料之收集、处理及利用,以促进个人资料之合理使用,订定「个人资料保护政策」,并于公司网站公布,说明如何收集、处理及利用个人资料,个人资料范围涵盖本公司员工、客户、供货商、公司网站之访客、公司产品或服务之用户、公司企业客户及供货商之员工、公司之应征者、造访公司之访客、投资人及股东等;除非取得个资当事人的同意或其他法令之特别规定,本公司绝不会将个资当事人的个人资料揭露予第三人或使用于搜集目的以外之其他用途。本公司落实分责管理机制,员工及应征者个人资料由人力资源部管理,客户之数据由业务营销部管理,供货商之数据由采购部管理,各部门均设有相关权限控管,避免不当存取信息。
新普科技股份有限公司暨其关系企业(包括但不限于新加坡商兆普有限公司台湾分公司、嘉普科技股份有限公司等;以下统称新普或本公司)高度尊重与维护本公司员工、客户、供货商、公司网站之访客、公司产品或服务之用户、公司企业客户及供货商之员工、公司之应征者、造访公司之访客、投资人及股东等个人资料。为保护与管理本公司取得之个人资料(以下称为「个人资料」),本公司依中华民国《个人资料保护法》及《个人资料保护法施行细则》及其他新普营运据点之国家或地区所适用之个资保护相关法规,制定本「个人资料保护政策」(下称「本政策」)。
本公司谨此声明并承诺依循本政策管理个人资料搜集、处理及利用等相关作业,确保个人资料的安全性,并保护所使用的个人资料,避免泄露和不当使用。本公司并要求本公司之供货商、承包商、外部顾问等第三方依循本政策,落实管理,共同实践与维护个人资料保护。
一、本公司获取个人资料特定情况与管道
(一)提供给本公司之信息:本公司藉由他人提供给本公司的信息,获得他人的个人资料〈例如:藉由电子邮件或电话的方式联络本公司、提供本公司的名片、或应征本公司工作〉。
(二)直接接触而取得之信息:本公司藉由参加会议、活动、展览、业务人员商业拜访,或参与其他会议之方式取得的个人资料。
(三)藉由合作取得之信息:本公司藉由在研发方面合作,或因为担任本公司顾问而取得的个人资料。
(四)依据法律关系而取得信息:本公司基于彼此之间存在的法律关系而取得的个人资料〈例如:本公司提供服务时〉。
(五)自行公开之信息:本公司由自行公开之信息中,取得的个人资料,包括经由社群媒体〈例如:在网络上公开发表与本公司相关之文字内容,本公司得经由社群媒体,取得在该媒体上之个人资料〉。
(六)网站信息:本公司藉由造访公司的网站,或使用公司网站上之功能或资源,而取得的个人资料。
(七)第三方内容及广告信息:当在网站上与第三方提供之内容或广告〈包括第三方所提供之插件或cookies〉互动,该第三方会将相关信息提供给本公司。
(八)由第三人提供的信息:本公司可能从第三方所提供的信息中搜集或取得的个人资料。〈例如:信用联征机构;执法机关等 〉。
二、搜集、处理及利用之目的及合法基础
在符合相关法律的前提下,本公司搜集、处理及利用个人资料之目的及合法基础包括以下各项:
(一)企业营运:提供、规划和改善本公司的网站、产品或服务,找出本公司网站、产品或服务上的问题;规划如何改善本公司的网站、产品及服务;开发新的网站、产品与服务以及本公司执行其他营运管理措施所必要。
1.基于本公司签订的合约所必要,或为了将来缔结契约所需要而搜集处 理的个人资料。
2.本公司对提供网站、产品或服务,具有合法利益而处理个人资料。
3.基于个人资料所有人事先同意而处理的个人资料。
(二)网站维护:经营及管理本公司的网站、产品以及服务;提供网站之内容;经由公司的网站、产品或是服务互动;本公司的网站、产品与服务更新通知。
1.基于本公司签订的合约所必要,或为了将来缔结契约之需要而搜集处理的个人资料。
2.本公司提供网站、产品或服务,具有合法利益而处理个人资料。
3.基于个人资料所有人事先同意而处理的个人资料。
(三)沟通与营销:采用任何方式进行沟通〈包括透过电子邮件、简讯、社群网站、公告或以面对面的方式〉,提供可能有兴趣的更新信息或其他信息;维护以及更新联络信息;以及依相关法律要求须取得事先同意时,本公司联络个人资料所有人以寻求同意。
1.基于本公司签订的合约所必要,或为了将来缔结契约之需要而搜集处 理的个人资料。
2.本公司提供网站、产品或服务,具有合法利益而处理个人资料。
3.基于个人资料所有人事先同意而处理的个人资料。
(四)信息系统之管理:管理及运作本公司的通讯系统、信息系统以及保全系统;以及进行查核〈包括安全性查核〉及监看上述各项系统。
1.本公司处理个人资料是为了履行法定义务。
2.本公司为管理以及维护公司的通讯与信息系统,具有合法利益,因此处理个人资料。
(五)供货商之管理
1.本公司为管理公司的供货商信息系统,具有合法利益,因此处理个人资料。
2.基于个人资料所有人事先同意而处理的个人资料。
(六)意见调查:针对本公司的网站、产品或服务取得的意见。
1.本公司为了进行意见调查、满意度调查以及市场调查,具有合法利益,因此处理的个人资料。
2.基于个人资料所有人事先同意而处理的个人资料。
(七)安全管理:本公司厂区实体之保全〈包括公司厂区参访纪录;监视录像纪录;以及电子安全〈包括登入纪录以及进出纪录〉。
1.本公司处理的个人资料是为了履行法定义务。
2.本公司对于厂区实体安全与电子安全具有合法利益,因此处理的个人资料。
(八)案件调查:依相关法律规定配合侦查、进行调查、及预防违反本公司规定与刑事犯罪。
1.本公司处理的个人资料是为了履行法定义务。
2.本公司对于依法配合侦查、进行调查、及预防违反本公司规定与刑事犯罪具有合法利益,因此处理的个人资料。
(九)法律遵循:遵循本公司在法律与规定上之义务。
1.本公司处理的个人资料是为了履行法定义务。
(十)预防诈欺:配合侦查、预防与调查诈欺相关案件。
1.本公司处理的个人资料是为了履行法定义务。
2.本公司对于配合侦查及预防诈欺案件之需求具有合法利益,因此处理的个人资料。
(十一)主张、行使或防御法律上权利:管理法律上之权利;事实与权利之主张, 包括文件之搜集、审阅与提交,事实、证据与证人之证言、行使及防御 法律上权利与主张,包括在正式法律程序中进行主张。
1.本公司处理的个人资料是为了履行法定义务。
2.本公司为了主张、行使或防御公司法律上权利,具有合法利益,因此处理的个人资料。
3.信息的处理是为建立、行使或防御法律上主张所必须。
(十二)招募与面试:招募活动、招募广告、面试活动、相关职位合适性分析、招募决定纪录、聘书内容及接受聘书细节。
1.本公司处理的个人资料是为了履行法定义务〈特别是劳工法相关法 律〉。
2.本公司对于招募及面试相关之需求,具有合法利益,因此处理的个人资料。
3.基于个人资料所有人事先同意而处理的个人资料。
三、本公司于特定情况与管道获取个人资料运用情形
(一)本公司应向个人资料所有人告知在特定情形下,本公司可能建立有关的个人资料,例如与本公司之间的互动纪录,或是过去的互动纪录。本公司可能合并从网站、产品或服务中取得的个人资料,包括从不同装置所取得的数据,并加以记录运用。除非适用法规明文规定得免为告知,本公司应向个人资料所有人告知一下事项:
1.搜集、处理及利用之个人资料
2.搜集、处理及利用个人资料之特定目的
3.个人资料所有人得依不同特定目的自行选择部分或全部同意或拒绝本 公司搜集、处理及利用本公司所要求(或)建议之个人资料
4.若个人资料所有人拒绝提供个人资料,或提供之个人资料有误或不足,可能导致本公司无法提供个人资料所有人特定或完整之讯息、反馈或服务。
(二)一般个人资料搜集、处理及利用:
1.个人信息:名字、别名、以及照片。
2.人口统计信息:性别、出生日期/年龄、国籍、称呼、头衔、以及惯用语言。
3.联系方式:联络地址、寄送地址、电话号码、电子邮件地址、实时通讯APP信息、因特网实时通讯信息、以及社群网站信息。
4.专长:专长、就业纪录、职业与资格、工作经验信息、参与会议、研讨会及展会之讯息、与他人或其他公司业务上的关系、语言能力及其他专业技能。
5.同意纪录:取得同意之纪录,连同同意之时间与日期、同意之方式,以及任何相关信息〈例如:同意之对象〉。
6.与本公司网站相关的信息:使用装置的种类、装置操作系统、浏览器种类、浏览器设定、IP 地址、语言设定、连接到网站之日期与时间、用户名称、密码、加密登入信息、使用数据、合并之统计数据。
7.雇主信息:当以其他公司员工之身分与公司互动时,名字、地址、电话号码、电子邮件地址、雇主的电子邮件地址。
8.网站内容与广告信息:本公司网站上的内容与广告互动之纪录、显示之广告与内容之纪录、上述各项内容互动之纪录〈例如:鼠标移动轨迹、鼠标点击、或其他活动〉以及任何以触控屏幕进行之互动纪录。
9.看法与意见:主动提供给本公司的任何看法、意见、或于社群网站上自行公开对于本公司的看法与意见。
(三)特种个人资料搜集、处理及利用:在日常业务范围内,本公司不主动搜集或处理特种个人资料,即有关病历、医疗、基因、性生活、健康检查及犯罪前科之个人资料。如果基于合法的理由而需搜集或处理特种个人资料,本公司将于下列目的范围内搜集处理:
1.为遵循相关法律规定:于相关法律要求或允许之范围内,本公司可能处理的特种个人资料〈例如,为履行公司的法定申报义务〉。
2.为侦查或预防犯罪发生:基于侦查或预防犯罪发生之必要〈例如,避 免诈欺情事〉,本公司可能处理特种个人资料。
3.为主张、行使或保护法律权利:如有主张、行使或保护法律权利之必 要,本公司可能处理特种个人资料。
4.基于个人资料所有人同意:依据相关法律取得个人资料所有人事先明示同意后,本公司可能处理其特种个人资料。
(四)个人资料搜集、处理及利用不逾越特定目的之必要范围本公司搜集、处理及利用个人资料不得逾越特定目的之必要范围,并应确保个人资料之搜集、处理及利用与特定目的具有正当合理之关联性。个人资料所有人得依不同特定目的请求部分或全部停止搜集、停止处理、停止利用、删除或销毁本公司搜集、处理及利用之个人资料。
四、第三方揭露遵循法规
本公司将对搜集的个人资料进行妥善的管理,防止个人资料的泄露、丢失与损毁。此外,从相关人员获取的个人资料,除了在相关人员与本公司书面约定的授权范围内,不会向第三方提供或公开。若本公司需提供个人资料予第三方,本公司首先须确认第三方身分,除法规明文规定得免为告知,本公司应告知个人资料所有人并取得其同意,本公司将揭露必要且最少限度之个人资料,并要求第三方依循法规妥善管理个人资料,不得处理或利用委托事务之特定目的外的用途,亦不得以任何形式将其个人资料为复制留存、买卖、租赁、使用或揭露。
五、个人资料留存
本公司个人资料留存时间不逾越特定目之必要范围所需合理期间,原则不超过五年。除法规明文规定、因执行职务或业务所必要、或经个人资料所有人同意,本公司才得继续留存个人资料。但当个人资料搜集、处理及利用之必要性消失、特定目的不再具有正当合理性或留存个人资料所依据之法规不再适用时,本公司将主动或依个人资料所有人请求停止搜集、停止处理、停止利用、删除或销毁个人资料。
六、信息安全保护措施
本公司认为致力保护信息系统及数据库中的信息资产(包括个人资料),使其免受各种威胁是非常重要的使命。因此,为了确保本公司信息资产的一致性、可用性、完整性,贯彻信息资产的妥善保护,本公司将经由下列方式运作:
1.架设硬件防火墙、入侵检测系统及弱点扫描等,以利阻隔来自因特网未知的入侵攻击,以保护本公司信息资产的安全及完整性。
2.架设防毒系统,以防止病毒之入侵,提供用户一个安全的网络环境。
3.定期与不定期备份系统及数据库数据,当不可预期的灾害发生时,以期能在最短时间内使系统复原,继续提供用户使用。
4.定期或不定期更新相关操作系统或应用程序厂商所发布的相关更新程序,以确保系统对于任何攻击的防御性,使遭受攻击的机率降到最低。
5.于个人资料留存期间内,本公司对于个人资料存取、处理、传输、留存、读取权限、相关传输及储存设备之信息安全进行完整管控,防止个人资料毁损、灭失、窃取、泄漏或未经授权读取、复制、使用、窜改,确保个人资料安全。
七、跨境传输
本公司位处不同国家与地区之关系企业间在不逾越原搜集、处理及利用个人资料之特定目的必要范围内,可能进行跨境传输及使用。进行跨境传输及使用个人资料时,本公司遵循本政策及传输地区所适用之隐私权及个人资料保护法规管理跨境传输及使用。
八、个人资料所有人法律权利
(一)对于本公司搜集、处理及利用之个人资料,个人资料所有人应享有以下法律权利:请求查询或阅览、复制、补充或更正不完整或不正确个人资料、 停止搜集、处理及利用、删除或销毁包含显示或储存于本公司内部或外部公开网站、档案或其他储存设备之个人资料、在必要且技术可行之条件下,请求以电子及机器易读取形式将个人资料移转至指定第三方信息管控者、向个人资料所有人居住地或个人资料使用地之个资保护主管机关申诉个资保护违反情事。
(二)个人资料所有人希望查询、修改自己的个人资料、或者提出投诉、协商时,可与本公司的咨询服务窗口联系,本公司权责人员将会在合理的范围内立即应对。本公司将在遵守国家、行业和本公司所规定之有关个人资料使用 的法令、规范的同时,有组织地、定期地、持续地对上述各项中的工作进行检讨和改善。
九、新普非常重视个人资料保护
(一)个人资料保护为本公司企业内部控制及风险管理面向之一,本公司每年进行年度风险评估及内部控制稽核,本公司并不定期执行供货商合规稽核,以确保相关作业符合本政策及隐私权及个人资料保护相关适用法规。
(二)本公司向所有员工倡导隐私权及个人资料保护相关法规。因本公司对于违反隐私权与个人资料保护行为采取零容忍政策,若经发现违反相关法规情 事,本公司将检讨并改善管理措施,并依适用规章惩戒相关人员。
(三)若本公司员工、外部公司或自然人有针对本政策或其他关于隐私权或个人资料保护之事项,得通过本公司网站的「检举/申诉信箱」或本公司其他最新公布之管道提供相关数据进行申诉或举报。