個人資料保護政策

1.目的
國立成功大學醫學院附設醫院斗六分院(以下簡稱本院)為確保個人資料蒐集、處理與利用符合個人資料保護法(以下簡稱個資法)暨相關規範，特訂定本政策。

2.適用範圍
適用於全部所有涉及個人資料蒐集、處理與利用之流程。

3.作業內容
3.1 個人資料範圍
3.1.1 個人資料係指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
3.1.2 有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，本院蒐集、處理或利用需符合個人資料保護法（以下簡稱個資法）第六條規定。
3.1.3 本院依個人資料保護法第十七條規定為公開，應於建立個人資料檔案後一個月內為之；變更時亦同。公開方式應予以特定，並避免任意變更。
3.2 個人資料之蒐集、處理及利用
3.2.1 個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實信用方法為之，遵守個人資料保護法規、基於個人資料保護法規所發布之命令規定，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。
3.2.2 個人資料之蒐集或處理，除個資法第六條第一項所規定資料外，應有特定目的，並符合個資法第十五條之規定。
3.2.3 與個人資料相關之蒐集與處理作業流程，應於重大變更發生時，應進行審查確認：
3.2.3.1 所蒐集、處理及利用之個人資料如包含特種個人資料，是否符合相關法令之要件。
3.2.3.2 蒐集、處理個人資料之特定目的符合免告知之事由。
3.2.3.3 蒐集、處理個人資料符合個資法第十五條規定，具有特定目的及法定要件，符合特定目的內利用。
3.2.3.4 利用個人資料符合個資法第十六條第一項規定，於特定目的外利用個人資料時具備法定特定目的外利用要件。
3.2.3.5 僅在特定目的內，公正且合法的蒐集與處理個人資料，以依適當方式公開者為限。有變更者亦同。
3.2.3.6 須告知事項或取得當事人同意時，其執行時機，應遵循個資法與相關法律規範，並留存必要記錄。
3.2.3.7 利用個人資料為宣傳、推廣或行銷時，應明確告知當事人其所屬機構、立案名稱及個人資料來源。
3.2.3.8 首次利用個人資料為宣傳、推廣或行銷時
3.2.3.8.1 應提供當事人表示拒絕接受宣傳、推廣或行銷之方式，並支付所需費用。
3.2.3.8.2 當事人表示拒絕宣傳、推廣或行銷後，應立即停止利用其個人資料宣傳、推廣或行銷，並周知所屬人員。
3.2.3.8.3 取得行銷同意時，同意書蒐集與保存要求。
3.2.3.9 新建立的個人資料蒐集流程於啟用前，宜由單位高層進行審查，並留下紀錄。
3.2.3.10 宜依據個人資料風險等級，訂定處理與利用之作業過程得考量採取的保護要求，並於日常作業中遵循之。
3.2.3.11 自第三方間接蒐集的個人資料，應確認其僅透過公平與合法方式取得。
3.2.4 個人資料之利用，除第六條第一項所規定資料外，應於執行法定職務必要範圍內為之，並與蒐集之特定目的相符，並符合個資法第十六條之規定。
3.2.5 本院於個資法九十九年五月二十六日修正公布之條文施行前，蒐集取得非由當事人提供之個人資料，應依個資法第五十四條規定辦理。
3.2.6 向當事人蒐集個人資料時，除法令另有規定情形外，應明確告知當事人下列事項：
3.2.6.1 本院之機關名稱。
3.2.6.2 蒐集之目的。
3.2.6.3 個人資料之類別。
3.2.6.4 個人資料利用之期間、地區、對象及方式。
3.2.6.5 當事人依個資法第三條規定得行使之權利及方式。
3.2.6.6 當事人得自由選擇提供個人資料時，不提供將對其權益之影響。
3.2.7 告知事項與當事人書面同之紀錄，應等同或超過個人資料留存之時間。
3.3 當事人行使權利之處理
3.3.1 當事人依個人資料保護法規、基於個人資料保護法規所發布之命令規定，向本院請求查閱、複製其個人資料時，或行使更正、刪除、停用個資等權利時，應填具申請書，並檢附相關證明文件。
3.3.2 當事人個資權利行使受理與回覆程序，由秘書室負責制定。
3.4 個人資料檔案安全維護
3.4.1 本院應建立適當安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏，包含以下安全維護事項，以採取技術上及組織上之必要措施，並符合個人資料保護法規、基於個人資料保護法規所發布之命令規定：
3.4.1.1 配置管理之人員及相當資源。
3.4.1.2 界定個人資料之範圍。
3.4.1.3 個人資料之風險評估及管理機制。
3.4.1.4 事故之預防、通報及應變機制。
3.4.1.5 個人資料蒐集、處理及利用之內部管理程序。
3.4.1.6 資料安全管理及人員管理。
3.4.1.7 認知宣導及教育訓練。
3.4.1.8 設備安全管理。
3.4.1.9 資料安全稽核機制。
3.4.1.10 使用紀錄、軌跡資料及證據保存。
3.4.1.11 個人資料安全維護之整體持續改善。
3.4.2 本院各單位應建立適當安全維護事項，並落實執行。
3.4.3 醫事組(資訊)應針對本院技術上之必要措施，建立適當資通安全維護事項，各單位資安連絡人應配合醫事組(資訊)之規定，負責單位內之工作協調連繫。
3.5 個資保護聯絡窗口
3.5.1 本院各單位應指派專人擔任個資聯絡窗口，辦理下列事項：
3.5.1.1 辦理個人資料檔案安全維護事項。
3.5.1.2 個人資料保護事項之協調連繫。
3.5.1.3 當事人行使權利之處理流程規劃。
3.5.1.4 損害之預防及危機處理應變之通知。
3.5.1.5 遵循本政策及協助監督個人資料保護相關事項。

4.政策文件維護權責
4.1 本政策應每年定期或依本院組織、業務和環境等變動因素之適當性予以修訂，報院核准後實施。
4.2 本政策之制定或修改由本院醫事組(資訊)主責並循行政程序呈報，經院長核可後公布之。