Taiwan Privacy Policy

1

The Protection of Personal Information

In the regular course of business, Baxter International Inc. ("Baxter") acquires personal information by interaction and communication with patients, healthcare professional, employees, and others. Baxter recognizes and respects the privacy rights of individuals with regards to such personal information. As evidence of its commitment to privacy, Baxter's management has established the Global Privacy Policy ("Policy") to ensure that respect for privacy is a key part of Baxter company culture and operations. Below is the policy in Chinese.

 

1

Baxter 隱私權政策-台灣

 

A. 宗旨

在正常業務活動中,百特醫療產品股份有限公司(以下簡稱「Baxter」)會與病患、專業醫療保健人員、員工等人員互動和交流,並從中獲取個人資料。對於此類個人資料,Baxter 承認並尊重每個當事人的隱私權。為表明自身對保護隱私的承諾,Baxter 的管理層制定了本政策和 Baxter 全球隱私權計劃,旨在確保「尊重隱私」成為 Baxter 公司文化和營運中的關鍵一環。

Baxter 隱私權政策-台灣旨在實現下列目標:

·         讓員工深入認識監管部門、法律和公司在個人資料處理和保護方面的要求;

·         就個人資料處理制定明確、全面的公司政策;

·         確立每一位個人資料處理人員的責任;以及

·         促使 Baxter 履行其在個人資料方面的企業、法律和監管責任。

 

B. 範圍與適用性

本政策為 Baxter 內部蒐集、使用和保護個人資料的標準。它適用於以電子或書面形式蒐集、儲存、處理或傳送的與 Baxter 業務營有關的一切個人資料,例如從病患、專業醫療保健人員(如醫生、藥劑師和護士)、員工或第三方商業夥伴處獲取的資訊。

Baxter 的所有業務部門、職能部門、營運地區和子公司都必須貫徹實施本政策。Baxter 的各業務實體必須始終遵循當地的相關法律和法規,當它們與本政策和相關標準的某些方面存在衝突時,應以此類法律和法規為準。附帶提及Baxter 母公司即Baxter International Inc. 已加入國際安全港計劃,因此 Baxter International Inc, 的美國業務部門必須始終遵守安全港隱私權準則;在處理從歐盟或瑞士向美國傳送的個人資料方面,該準則比本政策的相應規定更為詳細具體。

本政策不僅適用於公司內部,還適用於代表公司處理個人資料的所有 Baxter 代理、約聘人員、承包商、服務提供商和顧問。政策意識培訓由第三方負責人管理。

 

C. 定義

術語和定義

·         Baxter 全球隱私權計劃 - Baxter 企業責任辦事處批准的全球隱私權遵循計劃。

·         保密 - 確保只有經過授權的人員才能獲取資訊。

·         國家綜合管理人員 - 各國家或/組織中級別最高的 Baxter 領導人員。

·         資料隱私權 - 當事人控制其個人資料的蒐集與使用方式的合法權利與期望。

·         資料保護機構 - 負責實施和解釋當地隱私權法律和法規的政府機構。

·         資料品質 - 資訊的準確性、完整性和相關性。

·         明確同意 - 個人透過書面、口頭或某種其他方式以可觀察或肯定的行為表示同意。

·         全球資訊安全主管 (GISO) - 負責 Baxter International Inc. 全球組織的整體資訊安全戰略與活動的 IT 主管。有關此角色的詳細資訊,請參閱全球資訊保護政策

·         全球政策 - 一套適用於所有業務、地區和職能部門或各個領域的規則,這些領域中的所有負責人員均須予以遵守。為便於推廣和靈活應用,公司可能會對某些政策進行調整。

·         全球隱私權主管 (GPO) - 負責 Baxter International Inc. 全球組織的整體資料隱私權戰略與活動的公司顧問。有關此角色的詳細資訊,請參閱全球資訊保護政策

·         默許 - 從情境或個人的不作為推斷其已經同意。

·         資訊防護措施 - 確保資料和/或資訊受到保護而免遭篡改[完整性]、銷毀[可用性]/或洩露[保密性]的方式。

 

D.政策

1.0 管理

為確立一個全面的隱私權計劃,Baxter International Inc. 採用國際公認的公平資訊慣例作為本政策的基礎。這些原則不僅與歐盟資料保護指令 (95/46/EC) 和美國商務部國際安全港隱私權準則中的概念與要求高度一致,而且符合美國註冊會計師協會 (AICPA) 公認隱私權準則 (GAPP) 的框架。

BaxterBaxter International Inc. 之子公司,秉持全球隱私權政策的精神,依當地法規即中華民國個人資料保護法(下稱「個資法」)規定,頒布「Baxter隱私權政策-台灣」。

 

2.0 通知

在蒐集、處理、儲存和/揭露個人資料之前,Baxter 必須向當事人通知上述做法的目的。通知必須以明確且易於理解的方式傳達。

通知聲明至少必須包含下列內容[除非內容中已明顯表露]

1.    所要蒐集的資訊類型;

2.    蒐集資訊的目的;

3.    如果蒐集資訊屬於法律要求,則應註明此情況;

4.    資訊的使用或處理的期間、地區以及方式;

5.    如果Baxter 第三方蒐集個人資料,應告知資料的來源;如果Baxter 把個人資料揭露給第三方,應注明此情況(包括第三方之身分)和相應的目的;

6.    當事人如何查詢、閱覽自己的資訊;當事人如何請求Baxter 製作自己資訊的複製本;Baxter 停止蒐集、處理及利用自己的資訊;以及如何更正、補充或刪除自己的資訊

7.    如何聯繫 Baxter 以提出疑問、更正資訊、進行投訴和解決爭議;以及

8.    如果Baxter 直接對當事人蒐集個人資料,應表明當事人有權利拒絕提供個人資料,以及當事人拒絕提供個人資料時,對於當事人權利之影響。

Baxter 必須蒐集個人資料時或之前向當事人發出通知。

 

3.0 選擇與同意

當需要徵得當事人同意或適宜採取此做法時,Baxter 必須徵得當事人同意。如果個人資料將由第三方蒐集或使用或者將由 Baxter 揭露給第三方,Baxter 還必須明確指出當事人都有哪些選擇。

具體而言,當需要徵得當事人同意或適宜採取此做法時,Baxter 必須:

1.    請求當事人採用要求或適當的許可方式(選擇退出或參與)來表示同意;

2.    確保完整、明確地向當事人提供各種選擇(例如如何「選擇退出」);

3.    向當事人說明其不同意或不提供個人資料的後果;

4.    向當事人說明如何改變其許可決定(如何可行);

5.    驗證 Baxter 對當事人個人資料的使用是否符合當事人提供的許可;以及

6.    當個人資料的使用方式不同於最初向當事人說明的方式時,重新徵求當事人的同意。

徵求許可時,必須遵守個資法之規定。

 

4.0 蒐集

Baxter 必須按照公平、合法的方式蒐集或獲取個人資料。

具體而言,Baxter 必須:

1.    完全按照法律規定,根據向當事人說明需求的目的,來蒐集相應的個人資料;

2.    按照公平、無欺詐的方式蒐集個人資料;

3.    在蒐集資訊時明確告知當事人,哪些個人資料是需要提供的,哪些是可以選擇提供的;

4.    按照個資法規定從當事人處蒐集個人資料;

5.    盡可能直接從當事人處蒐集個人資料;以及

6.    驗證從第三方蒐集的個人資料是否可靠、合法。

 

5.0 使用和保留

Baxter 必須完全根據合法的商業目的或當事人授權來使用、處理、儲存和/或保留個人資料。

具體而言,Baxter 在使用、儲存和/或處理個人資料時必須遵守:

1.    聲明資訊蒐集的目的;

2.    當事人提供的許可;以及

3.    合約要求、監管要求和個資法之規定

個人資料的保留和銷毀必須符合 Baxter 記錄管理政策/或任何其他適用的 Baxter 資料保留政策與程式。

 

6.0 存取

在處理個人資料期間,Baxter 必須向當事人提供存取和更正其資訊的機會。

具體而言,Baxter 必須:

·         在收到個人資料存取請求時,應及時做出便於 Baxter 和當事人的形式之答覆;以及

·         向當事人提供機會,以便其檢查自己的個人資料並核實資料的準確性,進而更正、修改或刪除這些資料。

在允許當事人存取其個人資料或向其提供這些資料之前,Baxter 必須驗證當事人的身份。對於不合理的請求(例如請求不符合隱私權聲明中的程式,或者其提供的個人資料還與請求方之外的其他人員有關),則可以拒絕當事人的個人資料存取請求。不過,在拒絕存取的情況下,Baxter 必須向當事人提供拒絕的理由以及可供進一步查詢的聯繫人。

 

7.0 揭露與轉送

Baxter 可根據正常業務營運的需要將當事人的個人資料透露給第三方,這些業務包括向病患、專業醫療保健人員(如醫生、藥劑師和護士)和員工提供服務與產品。

揭露資訊時,Baxter 必須:

·         完全根據向當事人提供的通知中所說明的目的向第三方揭露個人資料;

·         驗證 Baxter 的行為是否符合當事人提供的許可以及各項法律和/或監管要求;

·         透過合約條款和/或書面協議要求第三方遵守相應法律團隊批准的隱私權和資訊安全控制的基本原則;以及

·         要求第三方按照當事人的選擇和許可處理個人資料。負責維護第三方關係的 Baxter 董事、主管、員工或承包商應負責確保相應的第三方遵守本政策。

 

8.0 安全

Baxter 應採取合理的預防措施(包括行政、技術、人員和物理措施)來保護個人資料,防止其遭到遺失、濫用、未經授權的存取、揭露、篡改、銷毀和盜竊。

有關 Baxter 既定的安全要求、控制機制和做法的詳細資訊,請參閱全球資訊分類政策全球資訊與技術的合理使用政策

 

9.0 資料完整性與資料品質

Baxter 必須採取合理的流程,根據個人資料的蒐集目的保持準確、完整和更新性。

具體而言,Baxter 必須:

·         根據需要實施相應的程式,讓個人資料保持準確、完整和更新;以及

·         在切實可行的範圍內,允許和鼓勵當事人保持其個人資料的準確、完整和更新。

 

10.0 監督與強制執行

Baxter 努力監督並強制相關人員持續遵守本政策和適用的隱私權法律、法規和義務。全球隱私權主管負責與 Baxter 法律人員一起確保實現此目標。一旦發現潛在、明顯或實際違反本政策的行為,必須立即上報全球隱私權主管。

 

11.0 例外情況

在某些受限或特殊情況下,如果適用法律和義務允許或要求,Baxter 可在不提供通知或徵求同意的情況下處理個人資料。此類情況的例子包括:調查針對違法或犯罪活動的特定指控;保護員工、公眾或 Baxter,防止其受到傷害或阻止其採取違法行為;與執法機構開展合作;審計財務業績或遵循活動;回應法律要求或程式;遵守法律或保險要求或者捍衛合法要求或權益;遵守勞工法或協議或履行其他法律義務;回收債務;保護 Baxter 的資訊資產;當事人的重要權益(如生命或健康)受到威脅的緊急情況;繼任規劃;業務重組;以及業務需要的其他情況。

此外,在適用法律和義務允許或要求的情況下,Baxter 可直接處理個人資料而不提供存取方式,例如上述各種情況;其他人的隱私權益受到威脅的情況;或者與當事人隱私權所受的風險相比,提供訪問許可權的負擔或支出過於巨大的情況。

12.0 所有權與職責

·         Baxter International Inc. 營運委員會(下稱「營運委員會」)主要負責按照 Baxter International Inc.  的《行為規範》在整個組織中實施控制。營運委員會承認並支援資料隱私權在 Baxter 中的重要戰略地位。營運委員會還認為,在 Baxter 中設立有效的資料隱私權計劃對於企業成功至關重要。

·         全球隱私權主管 (GPO) 和全球資訊安全主管 (GISO) 負責建立和管理資訊隱私權和安全治理職能,以及透過公司治理結構強制貫徹公司規定的全球政策、準則和標準。

·         全球隱私權主管 (GPO) 負責確保制定並實施隱私權準則、計劃、程式、培訓以及執行本政策所需的其他措施。

·         國家綜合管理人員負責撰寫當地隱私權政策的內容。

·         當地隱私權主管(LPO負責實施、傳達和不斷遵守相應國家的當地隱私權政策。LPO 還擔任當地聯繫人,負責處理與本政策有關的疑問和問題。

13.0 當事人權利申訴

Baxter設置客服申訴窗口(電話: 0800-231-611),便利當事人提出個人資料相關事宜之申請。對於當事人之申訴,Baxter將於法律規定之期間內予以處理,並向當事人回報處理之結果;惟當事人倘係申請刪除個人資料或請求停止利用個人資料,Baxter需要得到當事人的同意,才能再向當事人回報處理之結果。