業務終止後個人資料處理程序書-個人資料保護專區-中山醫學大學.doc

中山醫學大學 業務終止後個人資料處理程序書 機密等級：內部使用 文件編號：CSMU-PIMS-B-005 版 次：1.0 發行日期：103.02.本文件歷次變更紀錄： 版次 修訂日期 修訂頁次 修訂者 修訂內容摘要 1.0 103.01.10 N/A 個人資料保護推動執行小組 初版發行 目錄 壹、目的 1 貳、適用範圍 1 參、權責 1 肆、定義 1 伍、作業內容 2 陸、參考文件 3 柒、相關表單 3 壹、目的 依據「個人資料保護法」、「個人資料保護法施行細則」、個人資訊管理制度(PIMS) BS 10012 標準及中山醫學大學（以下簡稱本校）「個人資料保護管理政策」等相關規定，制定本校個人資料業務終止處理作業。 貳、適用範圍 本校所有同仁及相關委外合作廠商，所產生或經手之書面、電子個人資料均適用之。 參、權責 個人資料保護推動執行小組 個人資料保護管理政策之研擬與管理制度之審查。 個人資料保護事項權責分工之協調，並提供必要資源予以執行任務。 負責審視當事人之權益以符合個人資料保護法之要求。 各單位個人資料管理、保護及維護等事項，並落實於相關業務及人員。 個人資料保護業務之協調聯繫及緊急應變通。 本校所有同仁 落實個人資料保護相關作業規範。 執行本校於各項個人資料保護之決策及交辦事項。 辦理本校個人資料保留與處置作業。 肆、定義 個人資料 指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。 處理 指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。 當事人 指個人資料之本人。 伍、作業內容 個人資料儲存控管原則 本校處理、儲存個人資料檔案之資訊設備，應由專人負責保管與維護。 本校各單位儲 存個人資料檔案之磁碟、磁帶及紙本等相關儲存媒體，需指定專人管理，並置於實體保護之環境，例如上鎖之儲櫃、防潮箱或銀行保險箱等。 由廠商協助維修儲存個人資料檔案之電腦設備時，應指派專人在場確保資料的安全。 儲存個人資料檔案之儲存媒體，應建立定期備份或備援機制。 本校個人資料檔案之保存期限，應依【個人資料檔案風險評鑑與管理程序書】辦理。 個人資料之銷毀控管原則 業務單位個人資料蒐集之特定目的消失或個人資料檔案保存期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料，但因執行職務或業務所必須或經當事人書面同意者，不在此限。 本校個人資料檔案銷毀時，應填寫「個人資料紀錄銷毀申請單」提出申請，經權責單位主管核可後，方可實施銷毀。 儲存個人資料檔案之電腦或相關設備如需報廢或移轉他用，應確實刪除其所儲存之個人資料檔案。 紙本個人資料檔案銷毀時，若屬大量銷毀應指定專業廠商並有相關安全控管措施(如：人員全程陪同或全程錄影監控)；若少量則應以碎紙機銷毀。 處理完之個人資料檔案紙本、電子，若無需保留應立即絞碎或刪除電子檔案應確實清除「資源回收筒」，含有個人資料之報廢紙張不得回收及再利用。 磁性媒介須報廢或不堪再使用時，依媒介性質由個人或資訊人員以實體破壞或使用其他應用程式或工具清除資料或銷毀該媒介。 機密等級以上之個資檔案，資料銷毀時應有相關人員陪同。 陸、參考文件 個人資料檔案風險評鑑與管理程序書(CSMU-PIMS-B-007)。 柒、相關表單 個人資料紀錄銷毀申請單(CSMU-PIMS-D-008)。 3 業務終止後個人資料處理程序書 文件編號 CSMU-PIMS-B-005 機密等級 內部使用 版次 1.0