馬偕學校財團法人馬偕醫學院個人資料保護管理政策
103年11月12日103學年度第1次個人資料保護委員會議通過
105年12月21日105學年第1次個人資料保護委員會修正通過
105年12月21日馬學秘字第105120137號函發布
108年10月23日由校務會議授權統一修改學校全銜
馬偕學校財團法人馬偕醫學院(以下簡稱本校) 為落實個人資料之保護及管理並符合「個人資料保護法」(以下簡稱個資法)之規定,特訂定個人資料保護管理政策(以下簡稱本政策)。本校個人資料保護管理之目標如下:
一、依個人資料管理制度(PIMS)標準及國內「個人資料保護法」、「個人資料保護法施行細則」之規定,保護個人資料蒐集、處理、利用、儲存、傳輸、銷毀之過程。
二、為保護本校業務相關個人資料之安全,免於因外在威脅,或內部人員不當之管理與使用,至遭受竊取、竄改、毀損、滅失或洩漏等風險。
三、提升對個人資料之保護與管理能力,降低營運風險,並創造可信賴之個人資料保護及隱私環境。
四、為提升同仁個人資料保護安全意識,每年應辦理個人資料保護宣導教育訓練。
五、定期針對個人資料流程進行風險評鑑,鑑別可承受風險等級。
壹、個人資料之蒐集、處理與利用
一、執行本校各項業務、專案與內部行政作業因需要所蒐集的個人資料,除非經當事人書面同意,所有資料不應逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
二、本校所有資料蒐集行為,應明確告知當事人資料蒐集之目的、利用範圍與期間。
三、本校處理個人資料前,應清楚識別法令法規上之各項要求,並確保公正且合法處理個人資料。
四、本校應維護個人資料清冊、識別內外部利害關係人,並考量相關法律規章及營運要求,進行個人資料之風險評估,採取適當安全措施,以確保本校善盡個人資料保護之責。
五、個人資料存取權限之賦予,應考量業務需求之適當權限及實施職權區隔。
六、所蒐集之個人資料其正確性應受到適當的維護,並於必要時即時更新。
七、個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行業務所必須或經當事人同意者不在此限。
八、本校進行個人資料國際傳輸時,應考量法規之相關規範,並確認傳輸資料之安全性。
貳、個人資料保護之管理責任
一、本校已成立個人資料保護組織,明確定義相關人員之責任與義務。
二、本校之合作廠商亦應瞭解本政策之要求,並善盡資料保密之責任與義務。
三、本校應訂定個人資料保護管理規範,採取適切之保護措施,並公告周知全體人員以落實執行個人資料保護管理,並提供利害關係人適當之個資保護聯絡窗口,協調聯繫各項事宜。
四、本校遇個人資料疑似被竊取、洩漏、竄改或其他侵害時,應依事故管理相關程序,儘速通報並防止事故擴大,事後彙整相關資訊,作為規劃預防及改進措施之依據,以持續改善。
五、為預防個人資料被竊取、洩漏、竄改等侵害,應透過定期檢查、內部稽核或檢視之方式,持續改善內部所建置之個人資料管理制度。
六、違反個人資料保護法與本政策等相關規範,應依相關法令法規和本校相關規章處置。
七、本校應定期辦理個人資料檔案及個人資料清冊安全維護及更新事項。
八、個人資料檔案應建立管理制度,分級分類管理,並針對接觸人員建立安全管理規範。
參、利害關係人之參與及期許
本校個人資料保護及管理決議事項應納入本校個人資料保護委員會會議報告,涉及重大決議之會議紀錄應提報主管機關(教育部)及利害關係人(如企業雇主、畢業校友、學生家長、本校教職員工生及其他與本校相關人士等),如有任何回饋事項,將列入下次會議之討論議題。
肆、個人資料保護政策之修正權
本政策每年定期或因時勢變遷或法令修正等事由,予以適當修訂,並陳本校個人資料保護委員會審議通過後公告實施。