本辦法用詞,定義如下:
一、西藥批發零售業者:指依藥事法第二十七條第一項規定核准登記,且
資本額新臺幣三千萬元以上,並有招募會員或可取得交易對象個人資
料之業者。
二、專責人員:指由西藥批發零售業者指定,負責個人資料檔案安全維護
計畫(以下簡稱安全維護計畫)訂定及執行人員。
三、所屬人員:指西藥批發零售業者,執行業務過程中接觸個人資料之人
員。
四、查核人員:指由西藥批發零售業者指定,負責稽核安全維護計畫執行
情形及成效之人員。
前項第二款專責人員與第四款查核人員,不得為同一人。
〔立法理由〕 明確資本額之限制,爰修正第一項第一款之文字。
|
西藥批發零售業者,訂定第四條第四款事故之預防、通報及應變機制,應
包括下列事項:
一、採取適當措施,控制事故對當事人造成之損害,並於發現事故時起七
十二小時內,通報直轄市、縣(市)主管機關及通知中央主管機關。
二、查明事故發生原因及損害狀況,並通知當事人或其法定代理人。
三、檢討缺失,並訂定預防及改進措施,避免事故再度發生。
西藥批發零售業者,於發生個人資料被竊取、洩漏、竄改或其他侵害事故
時,應依前項事故之預防、通報及應變機制迅速處理,保護當事人之權益
。
西藥批發零售業者發生前項事故者,主管機關得依本法第二十二條第一項
規定進入檢查、命相關人員為必要之說明、配合措施或提供相關證明資料
,並視檢查結果為後續處置。
第一項第一款通報紀錄格式如附表。
〔立法理由〕 一、增訂第一項第一款非公務機關個人資料外洩事故通報時點,酌修第二
款及第三款文字。
二、增訂第三項西藥批發零售業者發生個人資料侵害事故,主管機關得依
法進行後續處置。
三、現行條文第三項移列為第四項,並修正明定通報紀錄格式。
|
西藥批發零售業者,訂定第四條第五款設備安全管理措施,應包括下列事
項:
一、紙本資料檔案之安全保護設施及管理程序。
二、電子資料檔案存放之電腦或自動化機器相關設備,配置安全防護系統
或加密機制。
三、紙本及電子資料之銷毀程序;電腦、自動化機器或其他儲存媒介物需
報廢汰換或轉作其他用途時,應採取適當防範措施,避免洩漏個人資
料。
〔立法理由〕 修正第三款增訂「電子」資料之銷毀程序。
|
西藥批發零售業者,訂定第四條第三款資料安全管理及人員管理之措施,
應包括下列事項:
一、依據業務作業需要,建立管理機制,設定所屬人員不同之權限,以控
管其接觸個人資料之情形,並定期確認權限內容之適當性及必要性。
二、檢視各相關業務之性質,規範個人資料蒐集、處理、利用及其他相關
流程之負責人員。
三、要求所屬人員妥善保管個人資料之儲存媒介物,並約定保管及保密義
務。
四、取消所屬人員離職時原在職之識別碼,並要求將執行業務所持有之他
人個人資料辦理交接,不得攜離使用。
〔立法理由〕 修正第四款所屬人員離職後將執行業務所持有之他人個人資料辦理交接。
|
本辦法除另定施行日期者外,自發布日施行。
〔立法理由〕 配合第十六條之一第四項另定施行日期,爰修正本條規定。
|