中國醫藥大學醫療體系暨合作院所

個人資料保護管理政策

第 一 章　總則

第 一 條　目的

中國醫藥大學醫療體系暨合作院所(以下簡稱本院)為落實個人資料保護法（以下簡稱個人資料法）、ISO/IEC 29100之隱私權原則、ISO/IEC 29191與CNS29100-2個人資訊去識別化過程管理系統及ISO/IEC 27701個人資料隱私資訊管理系統要求事項，確保本院內所有活動均能合理的蒐集、處理及利用個人資料及去識別化檔案(以下簡稱個人資料)，特訂定「個人資料保護管理政策」（以下簡稱本政策），作為個人資料保護工作之指導方針，藉以降低個人資料外洩風險。

第 二 條　範圍

本院日常作業與執行業務所接觸之個人資料及去識別化過程相關活動。

第 三 條　權責

一、資訊管理委員會

個人資料保護管理階層決策組織。

二、個資保護工作小組

個人資料保護管理制度規劃、建立、實施、維護、審查與持續改善，並將個人資料保護相關議題於資訊管理委員會提報。

 

第 四 條　名詞定義

個人資料：為個人資料法定義之範疇，即指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。

第 二 章　作業內容

第 五 條　作業內容

(一)本院各項個人資料管理規範必須遵守政府相關法規之規定。

(二)應於進行個人資料蒐集、處理與利用前以公開方式進行本政策或隱私權宣告，並留有相關核准或變更之紀錄。

(三)本院「資訊管理委員會」負責個人資料保護制度之建立及推動事宜，以確認本政策能被實施並配置相當資源。

(四)應鑑別出內部與外部的關注方，以及這些關注方參與本院個人資料安全保護程度，並辨識本院同仁的職責及權責。

(五)本院由個人資料保護推動組織受理當事人個人資料陳情、投訴、諮詢、個人權益及個人資料保護事項之協調聯繫等相關事宜。

(六)應定期清查本院保有之個人資料，鑑別特定目的及適法性，並予以分類分級，運用系統化的風險評估方法，評估風險及施以適當控制措施。

(七)應維持個人資料之正確性、完整性及確保其安全，並主動或依當事人之請求更正或補充之。

(八)應建立個人資料申訴、抱怨及事件通報機制，於事件發生時依規定通報，並在最短期間內採行應變措施，事件處理後亦須檢討改進。

(九)以合於時下之技術措施及管理制度，建立個人資料稽核紀錄、軌跡資料及證據之保存機制，以為後續舉證或證明已盡良善管理人之用。

(十)定期對同仁實施個人資料安全認知宣導，並針對本院各單位業務承辦人施以適當之教育訓練，以宣導本政策及相關實施規定。

(十一)定期訂定個人資料保護內部稽核計畫，檢視本院個人資料保護之情形，依稽核報告擬定及執行矯正措施。

(十二)定期召開管理審查會議，以確保管理系統實施之有效性及符合個人資料保護法規定與國際標準要求。

(十三)本院在合法之組織營運、業務下，對個人資料之蒐集、處理或利用，應尊重當事人之權益，並依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理關聯。

(十四)除依個人資料法第8條或第9條規定免告知情形外，本院於蒐集、處理或利用前應清楚告知當事人，並且尊重當事人行使以下權利：

1.查詢或請求閱覽。

2.請求製給複製本。

3.請求補充或更正。

4.請求停止蒐集、處理或利用。

5.請求刪除。

(十五)本院於委託蒐集、處理及利用個人資料時，應於契約明定受委託單位之個人資料保護責任及保密規定，並善盡監督及查核受委託單位責任。

(十六)本院對個人資料去識別化後之資料分析，僅限特定對象及契約範圍內使用，並善盡保護隱私之承諾及要求。

(十七)訂定「PIMS-A-001-01 隱私權宣告」並置於網站，供民眾參閱。

二、目標

(一)保護本院業務相關個人資料之安全，免於因外在之威脅，或內部人員不當之管理與使用，致遭受竊取、竄改、毀損、滅失、或洩漏等風險。

(二)提高個人資料保護暨管理能力，降低本院個人資料外洩風險，並創造可信賴之個人資料保護及隱私環境。

(三)為提升本院同仁個人資料保護安全意識，每年定期辦理個人資料保護宣導教育訓練。

(四)進行臨床資料倉儲及醫療影像數據個人資料去識別化(重新識別)檢測，確保個人資料去識別化過程管理系統達成其預期成果。

三、溝通或傳達

為使本院之政策及目標能有效地傳達到與業務相關之關注方，將利用媒體、函文、會議、網頁、電子郵件或文宣等途徑，進行彼此關注議題討論及溝通，於必要時得邀請相關人員參與，並留存相關紀錄。

四、政策修訂

本政策應依業務變動、技術發展及風險評鑑之結果，每年至少評估一次或發生重大變更時進行修訂，並持續改進其有效性及適切性，以符法令法規、技術及本院營運要求。本政策評估審查結果應經管理審查會議審議或資訊管理委員會通過後實施。

第 六 條　本政策若有未盡事宜，悉依相關規定及法令辦理。

第 七 條　本政策經資訊管理委員會主任委員簽核，並經院長核定後公告施行；修正時，亦同。