個人資料保護管理政策

中國醫藥大學(以下簡稱本校)為落實個人資料之保護及管理並符合「個人資料保護法(以下簡稱個資法)」及「個人資料保護法施行細則」之要求,特訂定個人資料保護管理政策(以下簡稱本政策)。本校個人資料保護管理之目標如下:

一、 依「個人資料保護法」、「個人資料保護法施行細則」與BS 10012要求,保護個人資料蒐集、處理、利用、儲存、傳輸、銷毀之過程。

二、 為保護本校業務相關個人資料之安全,免於因外在威脅,或內部人員不當之管理與使用,致遭受竊取、竄改、毀損、滅失、或洩漏等風險。

三、 提升對個人資料之保護與管理能力,降低營運風險,並創造可信賴之個人資料保護及隱私環境。

四、 為提升同仁個人資料保護安全意識,每年定期辦理個人資料保護宣導教育訓練。

五、 定期針對個人資料流程進行盤點作業,建立個人資料清冊,並進行風險評鑑,鑑別可承受風險等級。

壹、個人資料之蒐集與處理

設立個人資料保護執行小組,明確定義相關人員之責任與義務,提升整體個人資料保護工作效能與達到符合法規要求,並發展與建立個人資料管理制度( PIMS ),以確認本政策之實行。

貳、個人資料之蒐集與處理

本校因營運所需取得或蒐集之包含但不限於個人之姓名、出生年月日、國民身分證統一編號(護照號碼)、特徵、指紋、婚姻、家庭、教育、職業等個人資料,應遵循我國個人資料保護法等法令,不過度且符合目的、相關且適當並公平與合法地從事個人資料之蒐集與處理。

參、個人資料之例外應用及國際傳輸

一、 本校於利用個人資料時,除需依個資法之特定目的必要範圍內為之外,如需為特定目的以外之利用時,將依據個資法第二十條第一項之規定辦理;倘有取得個人資料當事人同意之必要者,本校應依法取得當事人之同意。

二、 本校所蒐集、處理之個人資料,應遵循個人資料保護法、個人資料保護法施行細則及本校個人資料管理制度之規範,且於本校業務所需之範圍內,方可為本校承辦同仁利用。

三、 本校取得之個人資料,如有進行國際傳遞之必要者,各單位應確保與該國之傳輸行為、協議或契約,符合我國相關法律及教育部之規範。

肆、個人資料之調動與異動

為維持正確個人資料並確保其安全,當本校接獲個人資料調閱或異動之需求時,應依個資法及本校所訂之程序,於合法範圍內進行當事人之個人資料查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集、處理、利用、請求刪除。

伍、個人資料之例外應用

本校因業務上所擁有之個人資料負有保密義務,除當事人之要求查閱或有下列情形外,應符合個資法第二十條及相關法令規定,並以正式公文查詢外,本校不得對第三人揭露:

一、 司法機關、檢察機關或警政機關因偵查犯罪或調查證據所需者。

二、 其他政府機關因執行公權力並有正當理由所需者。

三、 與公眾生命安全有關之機關(構)為緊急救助所需者。

陸、個人資料之保留與處置

一、 規範個人資料有關之檔案與紀錄之保存期限及銷毀方式。

二、 若法規有規定,依法規規定。

三、 若法規未要求,由各單位依業務保存之必要自行訂定合理之保存期限。

四、 定期將過期檔案與紀錄整理及銷毀。

五、 個人資料由專人進行保管,並以適當安全維護措施保全之,以維護個資之機密性及完整性。

柒、安全評估

一、 定期執行個資盤點,並維持最新之個人資料類別清單。

二、 定期執行風險評鑑,以確認其可能之威脅及衝擊,並加以回應。

三、 定期執行個人資料管理制度(PIMS)之內部稽核,以確認PIMS運作之符合性及落實狀況。

四、 定期執行個人資料管理制度(PIMS)之管理審查,以審查PIMS運作狀況及需改善之處。

捌、外包處理

一、 在與委外廠商約定之前,進行適當安全性的評估。

二、 備妥書面協議以提供具體指明的服務,並要求委外廠商提供適當的安全措施。

三、 如委外廠商有使用複委託廠商蒐集、處理、利用個人資料之需求,其在合約下有義務先獲得本校對此等需求之許可。

玖、利害關係人之參與及期許

本校個人資料保護及管理決議事項應納入個人資料保護執行小組會議報告,涉及重大決議之會議紀錄應提報主管機關(教育部)及利害關係人(如企業雇主、畢業校友、學生家長、本校教職員生及其他與本校相關人士等),如有任何回饋事項,將列入下次會議之討論議題。

拾、個人資料保護政策之修正權

本校之個人資料保護政策,每年定期或因時勢變遷或法令修正等事由,予以適當修訂,並陳資訊安全暨個人資料保護推動委員會後,公告實施,修正時亦同。

 

【附件】

中國醫藥大學資訊中心

台中市學士路91號 互助大樓七樓 ∣04-22053366分機1590 ∣ cc@mail.cmu.edu.tw