標章相關規範
臺灣個人資料保護與管理制度
資料隱私保護標章dp.mark管理要點
- 本要點係依據「臺灣個人資料保護與管理制度維運規章」訂定。
- 為明確資料隱私保護標章dp.mark(以下簡稱dp.mark)之發放流程及管理事宜,特訂定本要點。
- 本要點用語定義除下列外,均依「臺灣個人資料保護與管理制度維運規章」及「臺灣個人資料保護與管理制度規範」之規定為準。
(1) 資料隱私保護標章dp.mark:指用以證明組織之個人資料管理制度通過驗證之證明標章;英文全稱為Data Privacy Protection Mark。
(2) 驗證:指以「臺灣個人資料保護與管理制度規範」為驗證標準,對組織所進行之驗證。
(3) 授證:指組織通過驗證及授證審查後,由制度維運機構同意組織使用資料隱私保護標章dp.mark。
(4) 制度維運機構:指負責「臺灣個人資料保護與管理制度」之建置、維運與推行之機構。
(5) 組織:指公務機關或自然人以外之非公務機關。
(6) 驗證結果通知書:指制度維運機構或其所派定之驗證機構用以通知組織,關於組織驗證結果之書面。
(7) 授證(更新)結果通知書:指制度維運機構用以通知組織其標章使用(更新)申請結果之書面。
(8) 期中查核:指依「驗證暨特定範圍檢視程序執行要點」所為之期中查核。
(9) 臺灣個人資料保護與管理制度官方網站(以下簡稱TPIPAS網站):係指用以公告臺灣個人資料保護與管理制度相關文件、訊息之網站;首頁網址為:www.tpipas.org.tw。
- 3.1 標章申請
授證審核結果為通過者,組織得向制度維運機構提出標章申請,並繳交相關費用及文件。
- 3.2 標章使用
3.2.1. 一般規定
(1) 組織得於組織之官方網站或平面文宣上使用dp.mark。
(2) 組織僅得於本聲明書所述範圍內,以符合「資料隱私保護標章識別體系」所述之樣式,使用dp.mark。
(3) 組織應註冊成為TPIPAS網站之「取得標章組織」類會員,以取得「資料隱私保護標章識別體系」,並知悉或利用其他專屬內容與功能。
(4) 組織不得將dp.mark用於證明標章以外之用途。
3.2.2. 使用於組織之官方網站
(1) 組織僅得於其官方網站上嵌入制度維運機構所指定之標章程式碼及圖樣,以使用dp.mark;如制度維運機構調整上述程式碼或圖樣,組織於接獲通知後應即配合調整。
(2) 組織之官方網站,以組織提出申請,且經制度維運機構認可並登錄公告於TPIPAS網站者為準。
(3) 組織之官方網站,其網址如有變更,應於變更之三十個工作日前通知制度維運機構;經制度維運機構認可並公告於TPIPAS網站後,組織方可於該更新之網址使用dp.mark。
(4) 制度維運機構會就標章使用之相關事宜提供協助,但如因網路連線速度、軟硬體或其他因素致標章之顯示受影響時,制度維運機構除盡力提供適當協助外,不負其他任何責任。
3.2.3. 使用於平面文宣
(1) 組織於平面文宣上使用dp.mark,應於發送或張貼上述文宣前,繳交文宣樣張或其影像檔予制度維運機構存查。
(2) 制度維運機構如認為上述使用有違反本規則或損害標章公信力之情形時,得隨時要求組織回收文宣或停止張貼、發放,組織應予配合。
- 3.3 標章使用期間
組織得使用dp.mark之期間為兩年,自證書所載之日期起算。
- 3.4 公示
制度維運機構將公告得使用dp.mark之組織名稱、基本資料、標章使用期間及其他相關資訊於TPIPAS網站。
- 4.1 更新之申請
(1) 組織應於dp.mark使用期間屆滿前,向制度維運機構提出更新驗證及標章使用期限更新之申請。
(2) 組織應自行注意標章使用期間是否屆滿,並注意、估計更新相關程序所需之時間;制度維運機構就任何非因制度維運機構之故意或過失所致組織之標章使用期間無法銜接,不負任何責任。
- 組織有下列情形時,應立即以書面通知制度維運機構,並依制度維運機構之要求,繳納相關之文件。
(1) 組織之個人資料管理制度出現重要變更或有重要變更之計畫時。
(2) 組織所經營業務有變更時。
(3) 標章(更新)申請書所載組織基本資料有變更時。
- 6.1 組織報告義務
發生事故時,組織應即通知制度維運機構,並於查明後,盡速向制度維運機構提出書面報告,說明事故之原因、損害狀況及處理之情形。
- 6.2 制度維運機構協助
必要時制度維運機構得派員協助組織查明事故。
- 7.1 標章使用監督
(1) 制度維運機構為確保dp.mark之使用合於本規則之規定,得要求被授予標章之組織,就標章使用狀況提出書面報告或相關資料;制度維運機構認為必要時,並得進行實地檢查。
(2) 組織應配合制度維運機構根據7.1(1)規定所提出之相關要求。
- 7.2 檢查
(1) 制度維運機構為維持臺灣個人資料保護與管理制度之公信力,得要求組織,就其個人資料管理制度之狀況,或其他制度維運機構認為必要之情形,向制度維運機構提出書面報告;制度維運機構認為必要時,並得進行實地檢查。
(2) 組織應配合制度維運機構為執行7.2(1)之規定所提出之相關要求。
(3) 7.2(1)之實地檢查,其費用由組織負擔。
- 8.1 處置之發動
制度維運機構得視監督與檢查或期中查核之結果、組織所通知或報告之內容或組織違反通知或報告義務之情形,依「處置等級標準暨裁定表」(附件一)為以下之處置,並附理由以書面通知組織:
(1) 向該組織提出警告。
(2) 具體要求組織進行改善。
(3) 暫停組織對資料隱私保護標章之使用,暫停期間為一年以下。
(4) 終止組織對資料隱私保護標章之使用。
制度維運機構於處置前如有必要,應先舉行處置審議委員會就處置結果予以審查。
- 8.2 對處置之異議
(1) 組織得於接獲處置通知之翌日起,五個工作日內,以書面具體申明理由向制度維運機構提出處置異議。
(2) 制度維運機構應就處置異議做出決定,並以書面通知組織。
(3) 在制度維運機構就處置異議做出決定前,原處置之效力不受影響。
- 8.3 處置之公告
制度維運機構得公告組織受處置之內容。
- 制度維運機構因執行本要點而收取費用時,其收取項目或數額,由制度維運機構公告於TPIPAS網站後實施,並送經濟部備查,修訂時亦同。
(1) 本要點由制度維運機構公告於TPIPAS網站後實施,並送經濟部備查;修訂時亦同。
(2) 本要點如經修正並公告實施後,於修正實施前已獲准使用dp.mark而其使用期間尚未屆滿之組織,應遵守修正實施後之規定,但修正實施之規定係變更dp.mark使用期間者,於原標章使用期間屆滿前,不適用該變更之規定。
- 本要點3.1、5、6、7.2、8於特定範圍檢視證書準用之。
附件一、
處置等級標準
制度維運機構依規定,判斷嚴重程度據以採取相應於其等級的處置。
- 依事實按事故類型分類
- 判斷發生事實的原因,評斷組織有無責任。
- 對於事實發生的原因判斷為企業應負責任時,再考量事故的影響。
- 將嚴重程度區分為1至10,依事故類型、原因及影響判斷等級。
分類發生的事實 |
判斷事實的原因 |
事故的影響 |
嚴重程度等級 |
|
故意 |
不考量 |
10 |
過失 |
□洩漏或其他類型事故的個人資訊的內容(特種個人資料等) |
根據事實內容個別判斷1至10 |
|
不可抗力 |
不考量 |
0 |
處置裁定
依嚴重程度等級,判斷處置裁定類型。
處置等級 |
處置內容 |
||
取得標章企業 |
驗證中的企業 |
準備申請中的企業 |
|
10 |
終止組織對資料隱私保護標章之使用 |
中止驗證(一年內不得申請) |
一年內不得申請 |
8、9 |
暫停組織對資料隱私保護標章之使用 |
相當於暫停標章使用期間的期間內中止驗證 |
相當於暫停標章使用期間的期間內不得申請 |
5至7 |
具體要求組織進行改善 |
繼續驗證 |
可申請 |
1至4 |
向該組織提出警告 |
繼續驗證 |
可申請 |
0 |
不採取任何處置 |
繼續驗證 |
可申請 |