目的
財團法人中華民國衛生保健基金會附設醫事檢驗所(以下簡稱本所)為落實個人資料保護法(以下簡稱個資法),確保本所內所有活動均能合理的蒐集、處理及利用個資及去識別化檔案(以下簡稱個資),特訂定「個資保護管理政策」(以下簡稱本政策),作為個資保護工作之指導方針,藉以降低個資外洩風險。
適用範圍
本所日常作業與個人資料之蒐集、處理與利用等作業相關之單位、人員、業務流程與系統。
依據
中華民國個人資料保護法
名詞定義
個資:為個資法定義之範疇,即指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
目標
- 保護本所業務相關個資之安全,免於因外在威脅,或內部人員不當之管理與使用,致遭受竊取、竄改、毀損、滅失、或洩漏等風險。
- 提升同仁個人資料保護與管理能力及個資保護安全意識,辦理個人資料保護宣導教育訓練課程,以降低營運風險並創造可信賴之個人資料保護及隱私環境。
- 本所依相關法律要求及規定,克盡個人資料保護之目標及義務,並且維護及落實個人資料管理制度。
政策內容
- 本所各項個資管理規範必須遵守政府相關法規之規定。
- 應於進行個資蒐集、處理與利用前以公開方式進行本政策或隱私權宣告,並留有相關核准或變更之紀錄。
- 本所管理階層負有個資保護制度建立及推動事宜之責,確認本所個資安全政策能被實施並配置相當資源。
- 本所應受理當事人個資陳情、投訴、諮詢、個人權益及個資保護事項之協調聯繫等相關事宜。
- 應維持個資之正確性、完整性及確保其安全,並主動或依當事人之請求更正或補充之。
- 應建立個資申訴、抱怨及事件通報機制,於事件發生時依規定通報,並在最短期間內採行應變措施,事件處理後亦須檢討改進。
- 以合於時下之技術措施及管理制度,建立個資稽核紀錄、軌跡資料及證據之保存機制,以為後續舉證或證明已盡良善管理人之用。
- 定期對同仁實施個資安全認知宣導,並針對本所各單位業務承辦人施以適當之教育訓練,以宣導本政策及相關實施規定。
- 定期訂定個資保護內部稽核計畫,檢視本所個資保護之情形,依稽核報告擬定及執行矯正措施。並於管理審查會議評估及檢討,以確保管理系統實施之有效性及符合個資保護法規定與國際標準要求。
- 本所在合法之組織營運、業務下,對個資之蒐集、處理或利用,應尊重當事人之權益,並依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理關聯。
- 除依個資法第8條或第9條規定免告知情形外,本所於蒐集、處理或利用前應清楚告知當事人,並且尊重當事人行使以下權利:
- 查詢或請求閱覽。
- 請求製給複製本。
- 請求補充或更正。
- 請求停止蒐集、處理或利用。
- 請求刪除。
- 本所於委託蒐集、處理及利用個資時,應於契約明定受委託單位之個資保護責任及保密規定,並善盡監督及查核受委託單位責任。
- 本所對個資去識別化後之資料分析,僅限特定對象及契約範圍內使用,並善盡保護隱私之承諾及要求。
- 本所訂定有隱私權宣告置於網站,供民眾參閱。
政策之評估與審查
- 本政策每年至少評估及檢討一次,以反映本所個人資料保護需求、政府法令法規、技術及國際標準要求等最新發展現況,確保個人資料管理實務作業之時效性。
- 本政策如遇時勢變遷或法令修正等事由,應予以適當審查及修訂,以確保其適當性與有效性。
- 本政策若有未盡事宜,悉依相關規定及法令辦理。
公佈與施行
本政策經本所所長核定後公告施行;修正時,亦同。本政策應經由公告程序,使人員了解個人資料管理政策相關規定,俾利其遵循。