分享

:::

驗證暨特定範圍檢視相關規範


臺灣個人資料保護與管理制度

驗證暨特定範圍檢視程序執行要點

修正日期:2016年5月31日

0.依據
  • 本要點係依據「臺灣個人資料保護與管理制度維運規章」訂定。
1.目的
  • 為明確組織申請驗證、特定範圍檢視及制度維運機構或驗證機構執行驗證或特定範圍檢視時之程序及其他相關事項,特訂定本要點。
2.定義
  • 本要點用語定義除下列外,均依「臺灣個人資料保護與管理制度維運規章」及「臺灣個人資料保護與管理制度規範」之規定為準。
    (1)  驗證:指以「臺灣個人資料保護與管理制度規範」(以下簡稱「TPIPAS制度規範」)為驗證標準,對組織所進行之驗證。
    (2)  更新驗證:指於組織之資料隱私保護標章dp.mark使用期間屆滿前,為了解組織之個人資料保護與管理制度之維運情形,經組織提出申請後所執行之更新驗證。
    (3)  特定範圍檢視(以下簡稱「檢視」):指以「TPIPAS制度規範」為檢視標準,對組織之一個或數個特定部門、區域或流程所涉及之個人資料相關作業或程序文件進行抽查。
    (4)  授證:指組織通過驗證及授證審查後,由制度維運機構同意組織使用資料隱私保護標章dp.mark。
    (5)  制度維運機構:指負責「臺灣個人資料保護與管理制度」之建置、維運與推行之機構。
    (6)  驗證機構:指經制度維運機構認可並登錄、公告之驗證機構。
    (7)  組織:指公務機關或自然人以外之非公務機關。
    (8)  書審:指驗證的第一階段;由制度維運機構或其所派定之驗證機構,針對組織之個人資料管理制度相關文件進行初步審閱。
    (9)  實審:指驗證的第二階段;由制度維運機構或其所派定之驗證機構,至所擇定之組織營運或業務執行場所抽查組織之作業流程及個人資料管理制度文件與制度實際執行狀況。
    (10)  驗證或檢視爭議:指對據以認定書審、實審或檢視結果之事實所生之爭議。
    (11)  臺灣個人資料保護與管理制度官方網站(以下簡稱TPIPAS網站):係指用以公告、發布臺灣個人資料保護與管理制度相關文件、訊息之網站;首頁網址為:www.tpipas.org.tw。
3.爭議處理

(1)  就驗證或檢視爭議事項,組織應按下列規定,向實際為組織執行驗證或檢視之機構提出;如未依規定提出,視為無爭議:
 (a)  如為書審爭議,組織應於收受書審結果之翌日起五個工作日內以書面方式附理由提出。
 (b)  如為實審或檢視爭議,組織應於實審或檢視之閉幕會議上提出,如未能於閉幕會議解決爭議,組織應先請求實際為組織執行驗證或檢視之機構,於通知實審或檢視結果之書面上載明或註記爭議項目,並於舉行閉幕會議之翌日起,五個工作日內以書面方式附理由提出。
(2)  實際為組織執行驗證或檢視之機構應就爭議做出決定,並以書面通知組織。
(3)  組織對於前款之爭議如有疑義時,得向制度維運機構提出申訴。
(4)  爭議做出決定前,原書審、實審或檢視結果不受影響。

4.執行原則與保密義務
  • 執行驗證與檢視,應秉持專業知識,避免利益衝突之情形並以獨立、公正、負責之態度為之;除因法令或「臺灣個人資料保護與管理制度」各規範所要求者外,對因執行驗證、檢視相關業務所知悉之組織之機密資訊應予保密。
5.驗證申請
  • 5.1. 申請資格
    (1)  制度維運機構得接受於我國設有事務所、營業所或機關處所之組織就該事務所、營業所或機關處所所管理或涉及之業務申請驗證,惟如制度維運機構認為申請驗證之組織因其範圍、性質等不適宜之情形,或存在下列情事,制度維運機構得不接受組織之申請,或得暫緩驗證執行:
      (a)  申請驗證之組織曾接受實審,而未通過,其期間尚未屆滿六個月者。
      (b)  申請驗證之組織有「資料隱私保護標章dp.mark管理要點」所訂,暫停或終止資料隱私保護標章之使用之相當情事。
      (c)  申請驗證之組織,其負責人、代表人、經理人、執行業務董事或其他有代表權人,曾因違反個人資料保護相關法令而受刑罰之處罰,而其刑期或刑罰之執行尚未結束,或自執行結束之翌日起,尚未屆滿三年者。
      (d)  發生重大勞資糾紛或重大環境污染之情事,尚未改善者。
      (e)  組織或申請時之董事、監察人、總經理或實質負責人於最近三年內,有違反誠信原則之行為者。
    (2)  組織於提出驗證申請時,須據實聲明是否有5.1(1)(a)至(e)之情形,如所聲明內容與事實不符者,制度維運機構得駁回其申請或撤回驗證程序之執行;如驗證程序已完成,制度維運機構得撤銷驗證程序,組織所繳交之文件與費用不予退回;如組織已取得資料隱私保護標章,制度維運機構得撤銷授證程序及資料隱私保護標章之使用權,組織所繳交之文件與費用不予退回,且制度維運機構得公告撤銷之事由。
  • 5.2. 文件繳交
    組織於提出驗證申請時,須一併繳交臺灣個人資料保護與管理制度所要求之各項文件。
6.書審

(1)  制度維運機構於接受驗證申請及費用後,書審初審階段即可展開,並由制度維運機構或其所派定之驗證機構於書審初審審查完成後將結果以書面通知組織。
(2)  書審初審之結果為未通過者,6(1)之書面應載明未通過之理由。
(3)  組織未通過書審初審者,應於實際為組織執行驗證之機構所指定之期限內,或接獲6(1)書面之翌日起六十個工作日內,完成改善,始得申請書審複審。實際為組織執行驗證之機構於接受書審複審之申請後,書審複審階段即可展開,並由該機構於書審複審審查完成後將結果以書面通知組織。
(4)  書審複審之結果為未通過者,6(3)之書面應載明未通過之理由。
(5)  書審複審以一次為限。

7.實審

(1)  組織通過書審,與制度維運機構就實審之相關事項完成協議並於期限內繳納費用後,即進入實審初審階段。
(2)  於更新驗證之情形,如組織之個人資料管理制度相關程序無重大變更,則於組織提出更新驗證申請,並與制度維運機構就實審之相關事項完成協議並於期限內繳納費用後,即得逕進入實審初審階段。
(3)  實際為組織執行驗證之機構應於實審初審審查完成後,將實審初審結果以書面通知組織。
(4)  實審初審之結果為未通過者,7(3)之書面應載明未通過之理由。
(5)  組織未通過實審初審者,應於實際為組織執行驗證之機構所指定之期限內,或於組織接獲7(3)書面之翌日起六十日內完成改善,始得申請實審複審。
(6)  組織應與制度維運機構就實審複審之相關事項完成協議。
(7)  制度維運機構接受實審複審之申請,且組織已依期限繳納費用後,實審複審階段即得展開。
(8)  實際為組織執行驗證之機構應於審查完成後,將實審複審結果以書面通知組織。
(9)  實審複審之結果為未通過者,7(8)之書面應載明未通過之理由。
(10)  實審複審以一次為限。

8. 授證審核
  • 驗證通過後,制度維運機構就驗證結果進行審核,並將審核結果通知組織;審核結果為不通過者,上述通知應以書面附理由為之。
9. 期中查核

(1)  組織於取得資料隱私保護標章dp.mark滿八個月至一年間,應接受制度維運機構或其所派定之驗證機構之期中查核。
(2)  期中查核依實審程序進行。
(3)  組織未通過期中查核者,應受制度維運機構依「資料隱私保護標章dp.mark管理要點」所為之處置。

10.特定範圍檢視

(1)  組織每年度得申請特定範圍檢視一次。
(2)  組織於提出特定範圍檢視之申請時,須據實聲明是否有5.1(1)(a)至(e)之情形,如所聲明內容與事實不符者,制度維運機構得駁回其申請或撤回特定範圍檢視之執行;如特定範圍檢視已完成,制度維運機構得撤銷特定範圍檢視,組織所繳交之文件與費用不予退回,且制度維運機構得公告撤銷之事由。
(3)  特定範圍檢視之部門、區域或流程之範圍確認,由制度維運機構與組織議定之;就組織通過特定範圍檢視之部份,制度維運機構得公告上述部門、區域或流程之範圍及其他相關情形。
(4)  特定範圍檢視之執行由制度維運機構或其所派定之驗證機構依實審程序進行,並由實際為組織進行特定範圍檢視之機構於完成後,以書面通知組織檢視結果。
(5)  特定範圍檢視通過後,制度維運機構就結果進行審核,並將審核結果通知組織;審核結果為不通過者,上述通知應以書面附理由為之。

11.費用之實施
  • 制度維運機構如就驗證或特定範圍檢視相關事項收取費用時;其收取項目或數額,由制度維運機構公告於TPIPAS網站後實施,並送經濟部備查;修訂時亦同。
12.要點之實施

(1)  本要點由制度維運機構公告於TPIPAS網站後實施,並送經濟部備查;修訂時亦同。
(2)  本要點如經修正並公告實施後,應遵守修正實施後之規定