醫療個資消息《醫療器材批發零售業個人資料檔案安全維護計畫實施辦法》

0 0
網際網路的蓬勃發展與普及,加上近年公私部門的數位轉型政策,使資訊的交流傳遞更為便捷,也豐富了我們的眼界與生活,但與此同時,卻也衍生出許多不容忽視的資安風險,且廣泛擴及各類產業,因此《個人資料保護法》(簡稱《個資法》)第 27 條便授權中央目的事業主管機關訂定各事業的資安維護規定;2022 年 1 月,食藥署公告訂定《醫療器材批發零售業個人資料檔案安全維護計畫實施辦法》,並自公告日開始施行,對於產業而言,遵循新規範總是相對讓人感覺難以下手,不過別擔心,顧問職人將帶大家快速了解規定內容,及可行的因應方向。
  1. 適用對象:
    ■ 資本額新臺幣 3,000 萬元以上,並有招募會員或可取得交易對象個人資料之醫療器材批發零售業者:

  2. 專責人員設置要求:
    ■ 專責人員:指由醫療器材批發零售業者指定,負責個人資料檔案安全維護計畫訂定及執行之人員。
    ■ 專責人員負責規劃、訂定、修正、執行安全維護計畫,及業務終止後個人資料處理方法與其他相關事項,並定期向公司提出報告。

  3. 應建置之管控要求:

    項目

    相關內容及注意事項

    一. 訂定安全維護計畫

    1. 個人資料蒐集、處理及利用之內部管理程序。

    2. 個人資料之範圍及項目。

    3. 資料安全管理及人員管理。

    4. 事故之預防、通報及應變機制。

    5. 設備安全管理。

    6. 資料安全稽核機制。

    7. 使用紀錄、軌跡資料及證據保存。

    8. 業務終止後,個人資料處理方法。

    9. 個人資料安全維護之整體持續改善方案。

    二. 資料安全管理及人員管理工作

    1. 依據業務作業需要,建立管理機制,設定所屬人員不同之權限,以控管其接觸個人資料之情形,並定期確認權限內容之必要性及適當性。

    2. 檢視各相關業務之性質,規範個人資料蒐集、處理、利用及其他相關流程之負責人員。

    3. 要求所屬人員妥善保管個人資料之儲存媒介物,並約定保管及保密義務。

    4. 取消所屬人員離職時原在職之識別碼,並要求將執行業務所持有他人個人資料辦理交接,不得攜離使用。

    三. 事故預防、通報及應變機制

    1. 建立適當措施,控制事故對當事人造成之損害,並於發現事故時起 72 小時內,通報直轄市、縣(市)主管機關及通知中央主管機關。

    2. 查明事故發生原因及損害狀況,並通知當事人或其法定代理人。

    3. 檢討缺失,並訂定預防及改進措施,避免事故再度發生。

    四. 設備安全管理

    1. 紙本資料檔案之安全保護設施及管理流程。

    2. 電子資料檔案存放之電腦或自動 化機器相關設備,配置安全防護系統或加密機制。

    3. 紙本及電子資料之銷毀程序;電腦、自動化機器或其他儲存媒介物需報廢汰換或轉作其他用途時,應建立適當防範措施,避免洩漏個人資料。

    五. 資料安全稽核機制

    1. 定期或不定期稽核安全維護計畫。

    2. 向公司高階管理階層報告執行情形及成效。

    3. 查核人員與專責人員不可為同一人。

    六. 使用紀錄、軌跡資料及證據保存

    1. 留存個人資料使用紀錄。

    2. 留存自動化機器設備之軌跡資料或其他相關之證據資料。

    七. 業務終止後,個人資料處理方法

    1. 銷毀:方法、時間、地點及證明銷毀之方式。

    2. 移轉:原因、對象、方法、時間、地點,及受移轉對象得保有該項個人資料之合法依據。

    3. 刪除、停止處理或利用:方法、時間或地點。

    4. 個人資料處理應製作紀錄,至少留存 5 年。

    八. 人資料安全維護之整體持續改善方案

    1. 個人資料安全維護之整體持續改善方案,應參酌安全維護計畫執行狀況、技術發展、法令修正或其他因素,檢視所定安全維護計畫之合宜性,必要時應予修正。


  4. 定期監控頻率規劃要求:
    ■ 應界定所蒐集、處理及利用個人資料之類別或範圍,並定期清查所保有之個人資料現況。
    ■ 定期檢視發現有非屬特定目的必要範圍內之個人資料,或特定目的消失、期限屆至而無保存必要者,應予刪除、銷毀、停止蒐集、處理、利用或其他適當之處置。

  5. 個人資料傳輸要求:
    ■ 若有傳輸個人資料之情形,應建立傳輸保護措施避免洩漏。
    ■ 若有國際傳輸需求,應檢視是否受中央主管機關限制,並告知當事人擬傳輸之國家或區域。

  6. 個資蒐集要求:
    ■ 應依據《個資法》§8、§9 規定辦理,並按直接蒐集或間接蒐集,分別訂定告知方式、內容及注意事項。

  7. 宣傳、推廣或行銷要求:
    應依據《個資法》§20-1 規定辦理,並:

    ■ 明確告知當事人,業者立案名稱及個人資料來源。
    ■ 首次利用個人資料為宣傳、推廣或行銷時,應提供當事人或其法定代理人表示拒絕接受宣傳、推廣或行銷之方式,並支付所需費用。
    ■ 當事人或其法定代理人表示拒絕接受宣傳、推廣或行銷者,應立即停止利用,並告知所屬人員

  8. 委託他人蒐集、處理或利用個人資料要求:
    ■ 業者應依據《個資法施行細則》§8 之規定,對受託人執行監督,並於委託契約或相關文件中,明確規範。

  9. 當事人或法定代理人行使《個資法》§3 的權利時要求:
    ■ 提供聯絡窗口及聯絡方式。
    ■ 確認為個人資料當事人本人、法定代理人,或經其委託之人。
    ■ 依據《個資法》§10、§11-2、3 之規定,拒絕當事人請求之情形時,須附理由通知當事人或法定代理人。
    ■ 於時限內回覆訊息(依據《個資法》§13 )。
    ■ 費用收取(依據《個資法》§14 )。

  10. 電子商務服務系統應包含之資訊安全措施要求:
    ■ 使用者身分確認及保護機制。
    ■ 個人資料顯示之隱碼機制。
    ■ 網際網路傳輸之安全加密機制。
    ■ 個人資料檔案及資料庫之存取控 制與保護監控措施。
    ■ 外部網路入侵防範對策(需定期演練及檢討)。
    ■ 非法或異常使用系統之監控與因應機制(需定期演練及檢討)。

    (電子商務:指透過網際網路進行商品或服務之廣告、行銷、供應、訂購、遞送或其他商業交易活動)


  11. 完成期限:
    ■ 應於辦法發布施行後 6 個月內(即 2022 年 7 月 19 日前),完成安全維護計畫之訂定;主管機關得定期派員檢查。

總結而言,我們可將「資訊安全維護計畫」區分為 11 項要求、8 類管控作業,並依據公司特性規劃妥適的管理方式,並在後續的執行上,確保持續監控、改善的 PDCA 精神即可將法規逐一落實至公司的常規流程中。

領導力企管提供貴公司最即時、專業、多元且平易近人的客製化服務,讓執行管理系統不再是流於形式的繁複工作,而是真正能提升企業體質、文化的最佳利器!


-----
更多延伸閱讀:

SHARE:

Twitter Facebook Google Pinterest

COMMENTS

BLOGGER
名稱

五十道問題,13,其他,17,社會責任驗廠/供應鏈安全,36,食品安全,58,溫盤,41,資訊安全,28,環境永續,24,顧問觀點,84,ESG,73,FMEA,48,IATF與車用標準,31,ISO 13485&醫療器材,22,ISO 9001,34,ISO/IEC 17025,3,OH&S職安衛,23,QC080000,1,RBA(EICC),8,
ltr
item
ISO 顧問職人: 醫療個資消息《醫療器材批發零售業個人資料檔案安全維護計畫實施辦法》
醫療個資消息《醫療器材批發零售業個人資料檔案安全維護計畫實施辦法》
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitfCv5d2zNzuXbpAiLkGtn8Vz2tgUyJsoqG2vSB07nbX3pNamwDg9YNY1bqjxkw4XqhLIZGXInRbkiBrfvEntKFDlz0oAkW4taaV8qz_k4_p0lUx6b_0E1b077Fmmw61WQw-2YhLAYGnNk9B2wfZfqOx2ovzcebqP9r5ByZMYJesP07bWKg2fSLrox9rhf/s16000/%E9%86%AB%E7%99%82%E5%80%8B%E8%B3%87%E6%B6%88%E6%81%AF%E3%80%8A%E9%86%AB%E7%99%82%E5%99%A8%E6%9D%90%E6%89%B9%E7%99%BC%E9%9B%B6%E5%94%AE%E6%A5%AD%E5%80%8B%E4%BA%BA%E8%B3%87%E6%96%99%E6%AA%94%E6%A1%88%E5%AE%89%E5%85%A8%E7%B6%AD%E8%AD%B7%E8%A8%88%E7%95%AB%E5%AF%A6%E6%96%BD%E8%BE%A6%E6%B3%95%E3%80%8B.png
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitfCv5d2zNzuXbpAiLkGtn8Vz2tgUyJsoqG2vSB07nbX3pNamwDg9YNY1bqjxkw4XqhLIZGXInRbkiBrfvEntKFDlz0oAkW4taaV8qz_k4_p0lUx6b_0E1b077Fmmw61WQw-2YhLAYGnNk9B2wfZfqOx2ovzcebqP9r5ByZMYJesP07bWKg2fSLrox9rhf/s72-c/%E9%86%AB%E7%99%82%E5%80%8B%E8%B3%87%E6%B6%88%E6%81%AF%E3%80%8A%E9%86%AB%E7%99%82%E5%99%A8%E6%9D%90%E6%89%B9%E7%99%BC%E9%9B%B6%E5%94%AE%E6%A5%AD%E5%80%8B%E4%BA%BA%E8%B3%87%E6%96%99%E6%AA%94%E6%A1%88%E5%AE%89%E5%85%A8%E7%B6%AD%E8%AD%B7%E8%A8%88%E7%95%AB%E5%AF%A6%E6%96%BD%E8%BE%A6%E6%B3%95%E3%80%8B.png
ISO 顧問職人
https://isoleader.blogspot.com/2022/04/blog-post.html
https://isoleader.blogspot.com/
https://isoleader.blogspot.com/
https://isoleader.blogspot.com/2022/04/blog-post.html
true
6368582460553403133
UTF-8
Loaded All Posts Not found any posts VIEW ALL Readmore Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE SEARCH ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share to a social network STEP 2: Click the link on your social network Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy