個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

查詢個案摘要
Print

編號: 0207/C/2008

標題: 因醫學學術研究而收集個人資料

查詢內容:

    醫生甲查詢,在醫學學術研究中,甲需要收集被研究者乙的個人資料(如姓名、出生日期、簡單病歷),是否需要向個人資料保護辦公室作出通知申請?

回覆內容:

    由於查詢人未能就個案情況提供詳細具體資料,本辦公室僅就相關個人資料處理的一般情況,提出以下應注意事項:
  根據《個人資料保護法》第4條第1款(一)項及第3條第1款的規定,本查詢中有關資料的處理受《個人資料保護法》規範。
  《個人資料保護法》第21條及第22條規定了在處理個人資料時須向本辦公室作出通知或申請許可的事項。根據《個人資料保護法》第21條規定,如涉及以全部或部份自動化方式處理(如電腦)個人資料,又或根據《個人資料保護法》第7條第3款(一)項以非自動化方式處理,須在處理開始起八日期限內通知本辦公室,而《個人資料保護法》第22條則規定須許可的事項。關於通知/許可申請的詳細資料,可瀏覽本辦公室的網址,申請表格亦可於網站下載。
  關於處理乙的個人資料的正當性方面,根據《個人資料保護法》第6條規定,僅得在當事人明確同意或法律規定的其他情況下,方可對其個人資料進行處理。提問中涉及對簡單病歷的處理,根據《個人資料保護法》第7條規定,病歷資料屬於敏感資料,一般情況下處理該等資料須取得資料當事人的明確許可,而《個人資料保護法》第7條第4款規定:“如處理與健康、性生活和遺傳有關的資料是醫學上的預防、診斷、醫療護理、治療或衛生部門管理所必需的,只要由負有保密義務的醫務專業人員或其他同樣受職業保密義務約束的人進行,並根據第21條規定通知本辦公室和採取適當措施確保資訊安全,得處理有關資料。”此外,處理敏感資料須遵守《個人資料保護法》第16條所規定的特別安全措施,包括控制進入設施、控制資料載體、控制輸入及將健康資料與其他個人資料作邏輯分離等。
  在作出申請時,應先確認負責處理個人資料的實體身份,如屬A機構收集乙的個人資料,甲進行研究,則負責處理個人資料的實體為A機構;如甲以自然人身份收集乙的個人資料,處理該等資料與A機構無關,則負責處理個人資料的實體為甲。

註:
參考《個人資料保護法》第 3,4,6,7,21,22 條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116