醫療器材批發零售業個人資料檔案安全維護計 畫實施辦法草案總說明
個人資料保護法(以下簡稱本法)第二十七條規定:「(第一項)非 公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資 料被竊取、竄改、毀損、滅失或洩漏。(第二項)中央目的事業主管機 關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後 個人資料處理方法。(第三項)前項計畫及處理方法之標準等相關事項 之辦法,由中央目的事業主管機關定之。」,爰擬具醫療器材批發零 售業個人資料檔案安全維護計畫實施辦法草案(以下簡稱本辦法),
全文共二十三條,其要點如下:
一、 本辦法訂定之法律授權依據。(草案第一條)
二、 本辦法之主管機關。(草案第二條)
三、 本辦法之用詞定義。(草案第三條)
四、 醫療器材批發零售業者應訂定個人資料檔案安全維護計畫。(草 案第四條)
五、 醫療器材批發零售業者應落實個人資料檔案之安全維護及管理。
(草案第五條)
六、 醫療器材批發零售業者應完成安全維護計畫訂定之期程及主管 機關得派員檢查該計畫。(草案第六條)
七、 醫療器材批發零售業者應指定專責人員負責個人資料檔案安全 維護之相關任務。(草案第七條)
八、 醫療器材批發零售業者所保有之個人資料,經定期檢視,應予刪 除、銷毀或停止蒐集、處理及利用之情形。(草案第八條)
九、 醫療器材批發零售業者蒐集及傳輸個人資料時應符合之規定。
(草案第九條)
十、 醫療器材批發零售業者蒐集個人資料應遵守之告知義務。(草案 第十條)
十一、 醫療器材批發零售業者將個人資料為國際傳輸前應符合之規 定。(草案第十一條)
十二、 醫療器材批發零售業者利用個人資料為宣傳、推廣或行銷時應 符合本法之規定,並提供當事人或法定代理人拒絕行銷之機制。
(草案第十二條)
十三、 醫療器材批發零售業者委託他人蒐集、處理或利用個人資料時,
應對受託者為適當之監督。(草案第十三條)
十四、 醫療器材批發零售業者對於當事人行使本法第三條規定之權 利,得採行之辦理方式。(草案第十四條)
十五、 醫療器材批發零售業者應對資料安全管理人員採取之措施。
(草案第十五條)
十六、 醫療器材批發零售業者提供電子商務服務,應採取之安全措施。
(草案第十六條)
十七、 醫療器材批發零售業者應訂定個人資料侵害事故發生之預防、
通報及應變機制。(草案第十七條)
十八、 醫療器材批發零售業者應對保有之個人資料設置必要之安全 設備及採取必要之防護措施。(草案第十八條)
十九、 醫療器材批發零售業者應訂定個人資料檔案安全維護稽核機 制。(草案第十九條)
二十、 醫療器材批發零售業者應留存個人資料使用紀錄、自動化機器 設備之軌跡資料。(草案第二十條)
二十一、 醫療器材批發零售業者業務終止後,對其保有之個人資料之 處理方法及留存紀錄。(草案第二十一條)
二十二、 醫療器材批發零售業者應檢視所定安全維護計畫之合宜性,
以持續改進個人資料保護機制。(草案第二十二條)
