1.目的
國立成功大學醫學院附設醫院斗六分院(以下簡稱本院)為確保個人資料蒐集、處理與利用符合個人資料保護法(以下簡稱個資法)暨相關規範,特訂定本政策。
2.適用範圍
適用於全部所有涉及個人資料蒐集、處理與利用之流程。
3.作業內容
3.1 個人資料範圍
3.1.1 個人資料係指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
3.1.2 有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,本院蒐集、處理或利用需符合個人資料保護法(以下簡稱個資法)第六條規定。
3.1.3 本院依個人資料保護法第十七條規定為公開,應於建立個人資料檔案後一個月內為之;變更時亦同。公開方式應予以特定,並避免任意變更。
3.2 個人資料之蒐集、處理及利用
3.2.1 個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實信用方法為之,遵守個人資料保護法規、基於個人資料保護法規所發布之命令規定,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
3.2.2 個人資料之蒐集或處理,除個資法第六條第一項所規定資料外,應有特定目的,並符合個資法第十五條之規定。
3.2.3 與個人資料相關之蒐集與處理作業流程,應於重大變更發生時,應進行審查確認:
3.2.3.1 所蒐集、處理及利用之個人資料如包含特種個人資料,是否符合相關法令之要件。
3.2.3.2 蒐集、處理個人資料之特定目的符合免告知之事由。
3.2.3.3 蒐集、處理個人資料符合個資法第十五條規定,具有特定目的及法定要件,符合特定目的內利用。
3.2.3.4 利用個人資料符合個資法第十六條第一項規定,於特定目的外利用個人資料時具備法定特定目的外利用要件。
3.2.3.5 僅在特定目的內,公正且合法的蒐集與處理個人資料,以依適當方式公開者為限。有變更者亦同。
3.2.3.6 須告知事項或取得當事人同意時,其執行時機,應遵循個資法與相關法律規範,並留存必要記錄。
3.2.3.7 利用個人資料為宣傳、推廣或行銷時,應明確告知當事人其所屬機構、立案名稱及個人資料來源。
3.2.3.8 首次利用個人資料為宣傳、推廣或行銷時
3.2.3.8.1 應提供當事人表示拒絕接受宣傳、推廣或行銷之方式,並支付所需費用。
3.2.3.8.2 當事人表示拒絕宣傳、推廣或行銷後,應立即停止利用其個人資料宣傳、推廣或行銷,並周知所屬人員。
3.2.3.8.3 取得行銷同意時,同意書蒐集與保存要求。
3.2.3.9 新建立的個人資料蒐集流程於啟用前,宜由單位高層進行審查,並留下紀錄。
3.2.3.10 宜依據個人資料風險等級,訂定處理與利用之作業過程得考量採取的保護要求,並於日常作業中遵循之。
3.2.3.11 自第三方間接蒐集的個人資料,應確認其僅透過公平與合法方式取得。
3.2.4 個人資料之利用,除第六條第一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符,並符合個資法第十六條之規定。
3.2.5 本院於個資法九十九年五月二十六日修正公布之條文施行前,蒐集取得非由當事人提供之個人資料,應依個資法第五十四條規定辦理。
3.2.6 向當事人蒐集個人資料時,除法令另有規定情形外,應明確告知當事人下列事項:
3.2.6.1 本院之機關名稱。
3.2.6.2 蒐集之目的。
3.2.6.3 個人資料之類別。
3.2.6.4 個人資料利用之期間、地區、對象及方式。
3.2.6.5 當事人依個資法第三條規定得行使之權利及方式。
3.2.6.6 當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
3.2.7 告知事項與當事人書面同之紀錄,應等同或超過個人資料留存之時間。
3.3 當事人行使權利之處理
3.3.1 當事人依個人資料保護法規、基於個人資料保護法規所發布之命令規定,向本院請求查閱、複製其個人資料時,或行使更正、刪除、停用個資等權利時,應填具申請書,並檢附相關證明文件。
3.3.2 當事人個資權利行使受理與回覆程序,由秘書室負責制定。
3.4 個人資料檔案安全維護
3.4.1 本院應建立適當安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏,包含以下安全維護事項,以採取技術上及組織上之必要措施,並符合個人資料保護法規、基於個人資料保護法規所發布之命令規定:
3.4.1.1 配置管理之人員及相當資源。
3.4.1.2 界定個人資料之範圍。
3.4.1.3 個人資料之風險評估及管理機制。
3.4.1.4 事故之預防、通報及應變機制。
3.4.1.5 個人資料蒐集、處理及利用之內部管理程序。
3.4.1.6 資料安全管理及人員管理。
3.4.1.7 認知宣導及教育訓練。
3.4.1.8 設備安全管理。
3.4.1.9 資料安全稽核機制。
3.4.1.10 使用紀錄、軌跡資料及證據保存。
3.4.1.11 個人資料安全維護之整體持續改善。
3.4.2 本院各單位應建立適當安全維護事項,並落實執行。
3.4.3 醫事組(資訊)應針對本院技術上之必要措施,建立適當資通安全維護事項,各單位資安連絡人應配合醫事組(資訊)之規定,負責單位內之工作協調連繫。
3.5 個資保護聯絡窗口
3.5.1 本院各單位應指派專人擔任個資聯絡窗口,辦理下列事項:
3.5.1.1 辦理個人資料檔案安全維護事項。
3.5.1.2 個人資料保護事項之協調連繫。
3.5.1.3 當事人行使權利之處理流程規劃。
3.5.1.4 損害之預防及危機處理應變之通知。
3.5.1.5 遵循本政策及協助監督個人資料保護相關事項。
4.政策文件維護權責
4.1 本政策應每年定期或依本院組織、業務和環境等變動因素之適當性予以修訂,報院核准後實施。
4.2 本政策之制定或修改由本院醫事組(資訊)主責並循行政程序呈報,經院長核可後公布之。