個人資料保護管理政策
(2025年修正版)
第一版公告日期:114 年 1 月
修訂版公告日期:114 年 1 月
一、前言
世醫股份有限公司及世晨有限公司(以下合稱本公司)從事醫療保健設備及軟硬體設計買賣,為確保個人資料依中華民國個人資料保護法(以下稱個資法)及個人資料保護委員會發布之相關指導原則,得到充分保護與妥善管理,本公司制定本政策以規範個人資料之蒐集、處理及利用,全力保障當事人權益及個資安全。
二、適用範圍
本政策適用於本公司所有部門、員工、委外合作廠商及所有涉及個人資料之系統、服務及業務。個人資料指足以直接或間接識別個人之任何資料,包含姓名、身份證統一編號、聯絡資訊、健康及財務等敏感資料。
三、個人資料處理原則
本公司遵循合法、公正及特定目的原則蒐集個資,明確揭露處理目的、保存期間、資料類別及當事人權利;採取必要技術及組織安全措施,確保資料正確性和安全性;資料使用終止後,依法刪除或匿名化處理。
四、個資分類與管理
定期執行個資盤點與分類,建立保存清冊,明示來源、地點、目的及保存期限。新業務及系統變更須及時更新。
五、個資安全維護措施
採用存取控制、身份驗證與加密技術,推動網路安全防護及備援計畫,定期稽核及風險評估。
六、委外管理與責任
委外處理個資者須簽訂保護條款,明訂責任義務並接受稽核。事故發生時須即時通報並配合應變。
七、當事人權利行使
保障當事人查閱、更正、刪除及停止利用個資權利,建置申請程序並於法定期限內處理回應。
八、個資侵害通報與應變
發現疑似洩漏或異常存取,員工應2小時內通報資料保護管理負責人並啟動調查。依規定72小時內通報主管機關與當事人。
九、教育訓練與宣導
每年辦理至少一次全員個資保護教育,新進員工須於1個月內完成培訓,主管及資訊相關人員參加進階課程。
十、內部稽核與持續改進
每年至少完成一次稽核,缺失須於期限內改善並追蹤,政策依法令及營運調整逐年檢討。
十一、資料保護負責人設置
由資訊主管或行政主管兼任資料保護管理負責人,負責策略規劃、稽核、事故通報及監管機關聯絡。
十二、附則
本政策由資料保護長統籌規劃,經董事會核准後實施,原政策同時廢止,自公告日起生效。
