Q: 公司為醫療系統廠商,因更換系統需求需求需將診所系統中患者個資含醫療記錄取回整理,在作業過程中就會看到患者相關資料,請問需要先取得患者授權嗎? 還是診所授意(口頭/書面)即可?
另取回的資料在完成系統轉移後是否可留存?
或是在多少年限內需消滅呢?
是否也需要簽立書面憑據?
簽立對象應為患者或診所?
A:
您好:
關於您的問題,請您先行參照個人資料保護法第19條:「非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:一、法律明文規定。二、與當事人有契約或類似契約之關係,且已採取適當之安全措施。三、當事人自行公開或其他已合法公開之個人資料。四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。五、經當事人同意。六、為增進公共利益所必要。七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。八、對當事人權益無侵害。蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。」、第20條:「非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:一、法律明文規定。二、為增進公共利益所必要。三、為免除當事人之生命、身體、自由或財產上之危險。四、為防止他人權益之重大危害。五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。六、經當事人同意。七、有利於當事人權益。非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。」規定。
如果系統上設計有關於利用患者的個資,個資使用內容皆應告知患者,並得患者同意後始得使用其個資,否則即有違個資法規定之虞。
以上建議提供參考,如有任何問題,歡迎與我們諮詢,謝謝 (Line@帳號: @462lvlvy)
加入我們的FB粉絲專頁「中小企業法律新訊粉絲團」,取得最新即時的法律知識!