臺灣個人資料保護與管理制度
資料隱私保護標章dp.mark管理要點
修正與公告日期:2021年12月30日
0. 依據
- 本要點係依據「臺灣個人資料保護與管理制度維運規章」訂定。
1. 目的
- 為明確資料隱私保護標章dp.mark(以下稱「資料隱私保護標章」)之發放流程及管理事宜,特訂定本要點。
2. 定義
- 本要點用語定義除下列外,均依「臺灣個人資料保護與管理制度維運規章」及「臺灣個人資料保護與管理制度規範(以下稱「本制度規範」)」之規定為準。
- (1) 資料隱私保護標章:指用以證明組織之個人資料管理制度通過驗證之證明標章;英文全稱為Data Privacy Protection Mark。
- (2) 驗證:指以本制度規範為驗證標準,對組織所進行之驗證。
- (3) 授證:指組織通過驗證及授證審查後,由維運機構同意組織使用資料隱私保護標章。
- (4) 維運機構:指負責「臺灣個人資料保護與管理制度(以下稱「本制度」)」之建置、維運與推行之機構。
- (5) 組織:指公務機關或自然人以外之非公務機關。
- (6) 驗證結果通知書:指維運機構或其所派定之驗證機構用以通知組織,關於組織驗證結果之書面。
- (7) 授證(更新)結果通知書:指維運機構用以通知組織其隱私保護標章使用(更新)申請結果之書面。
- (8) 期中查核:指依本制度「驗證暨特定範圍驗證程序執行要點」所為之期中查核。
- (9) 官方網站:係指用以公告本制度相關文件及資訊之網站;首頁網址為:www.tpipas.org.tw。
3. 標章申請與使用
- 3.1 標章申請
授證審核結果為通過者,組織得向維運機構提出標章申請,並繳交相關費用及文件。
- 3.2 標章使用
- 3.2.1. 一般規定
(1) 組織得於組織之官方網站或平面文宣上使用資料隱私保護標章。
(2) 組織僅得於本聲明書所述範圍內,以符合「資料隱私保護標章識別體系」所述之樣式,使用資料隱私保護標章。
(3) 組織應註冊成為官方網站之「取得標章組織」類會員,以取得「資料隱私保護標章識別體系」,並知悉或利用其他專屬內容與功能。
(4) 組織不得將資料隱私保護標章用於證明標章以外之用途。
- 3.2.2. 使用於組織之官方網站
(1) 組織僅得於其官方網站上嵌入維運機構所指定之標章程式碼及圖樣,以使用資料隱私保護標章;如維運機構調整上述程式碼或圖樣,組織於接獲通知後應即配合調整。
(2) 組織之官方網站,以組織提出申請,且經維運機構認可並登錄公告於官方網站者為準。
(3) 組織之官方網站,其網址如有變更,應於變更之三十個工作日前通知維運機構;經維運機構認可並公告於官方網站後,組織方可於該更新之網址使用資料隱私保護標章。
(4) 維運機構會就資料隱私保護標章使用之相關事宜提供協助,但如因網路連線速度、軟硬體或其他因素致資料隱私保護標章之顯示受影響時,維運機構除盡力提供適當協助外,不負其他任何責任。
- 3.2.3. 使用於平面文宣
(1) 組織於平面文宣上使用資料隱私保護標章,應於發送或張貼上述文宣前,繳交文宣樣張或其影像檔予維運機構存查。
(2) 維運機構如認為上述使用有違反本規則或損害資料隱私保護標章公信力之情形時,得隨時要求組織回收文宣或停止張貼、發放,組織應予配合。
- 3.3 標章使用期間
組織得使用資料隱私保護標章之期間為兩年,自證書所載之日期起算。
- 3.4 公示
維運機構將公告得使用資料隱私保護標章之組織名稱、基本資料、標章使用期間及其他相關資訊於官方網站。
4. 更新程序
- 4.1 更新之申請
(1) 組織應於資料隱私保護標章使用期間屆滿前,向維運機構提出更新驗證及標章使用期限更新之申請。
(2) 組織應自行注意標章使用期間是否屆滿,並注意、估計更新相關程序所需之時間;維運機構就任何非因維運機構之故意或過失所致組織之標章使用期間無法銜接,不負任何責任。
5. 通知義務
- 組織有下列情形時,應立即以書面通知維運機構,並依維運機構之要求,繳納相關之文件。
(1) 組織之個人資料管理制度出現重要變更或有重要變更之計畫時。
(2) 組織所經營業務有變更時。
(3) 資料隱私保護標章(更新)申請書所載組織基本資料有變更時。
6. 報告義務
- 6.1 組織報告義務
發生事故時,組織應即通知維運機構,並於查明後,盡速向維運機構提出書面報告,說明事故之原因、損害狀況及處理之情形。
- 6.2 維運機構協助
必要時維運機構得派員協助組織查明事故。
7. 監督與檢查
- 7.1 標章使用監督
(1) 維運機構為確保資料隱私保護標章之使用合於本規則之規定,得要求被授予資料隱私保護標章之組織,就資料隱私保護標章使用狀況提出書面報告或相關資料;維運機構認為必要時,並得進行實地檢查。
(2) 組織應配合維運機構根據本要點7.1(1)規定所提出之相關要求。
- 7.2 檢查
(1) 維運機構為維持本制度之公信力,得要求組織,就其個人資料管理制度之狀況,或其他維運機構認為必要之情形,向維運機構提出書面報告;維運機構認為必要時,並得進行實地檢查。
(2) 組織應配合維運機構為執行本要點7.2(1)之規定所提出之相關要求。
(3) 本要點7.2(1)之實地檢查,其費用由組織負擔。
8. 處置
- 8.1 處置之發動
維運機構得視監督與檢查或期中查核之結果、組織所通知或報告之內容或組織違反通知或報告義務之情形,依「處置等級標準暨裁定表」(附件一)為以下之處置,並附理由以書面通知組織:
(1) 向該組織提出警告。
(2) 具體要求組織進行改善。
(3) 暫停組織對資料隱私保護標章之使用,暫停期間為一年以下。
(4) 終止組織對資料隱私保護標章之使用。
維運機構於處置前如有必要,應先舉行處置審議委員會就處置結果予以審查。
- 8.2 對處置之異議
(1) 組織得於接獲處置通知之翌日起,五個工作日內,以書面具體申明理由向維運機構提出處置異議。
(2) 維運機構應就處置異議做出決定,並以書面通知組織。
(3) 在維運機構就處置異議做出決定前,原處置之效力不受影響。
- 8.3 處置之公告
維運機構得公告組織受處置之內容。
9. 費用之實施
- 維運機構因執行本要點而收取費用時,其收取項目或數額,由維運機構公告後實施,修訂時亦同。
10. 要點之實施
- (1) 本要點由維運機構公告後實施,修訂時亦同。
- (2) 本要點如經修正並公告實施後,於修正實施前已獲准使用資料隱私保護標章而其使用期間尚未屆滿之組織,應遵守修正實施後之規定,但修正實施之規定係變更資料隱私保護標章使用期間者,於原標章使用期間屆滿前,不適用該變更之規定。
11. 維運機構於特定範圍驗證證書之準用
- 本要點3.1.、5.、6.、7.2.、8.於特定範圍驗證證書準用之。
附件
處置等級標準
維運機構依規定,判斷嚴重程度據以採取相應於其等級的處置。
- (1) 依事實按事故類型分類
- (2) 判斷發生事實的原因,評斷組織有無責任。
- (3) 對於事實發生的原因判斷為企業應負責任時,再考量事故的影響。
- (4) 將嚴重程度區分為1至10,依事故類型、原因及影響判斷等級。
|
分類發生的事實
(事故類型)
|
判斷事實的原因
(評斷有無責任)
|
事故的影響
|
嚴重程度等級
|
- 竊取
- 竄改
- 毀損
- 滅失
- 洩漏
- 違法蒐集、處理或利用
- 違法目的外利用
- 違法行銷
- 違法國際傳輸
- 違法進行或不進行當事人權利行使
|
故意
(組織故意)
|
不考量
|
10
|
|
過失
(制度運作不完備、設備不周全、監督責任等)
|
□洩漏或其他類型事故的個人資訊的內容(特種個人資料等)
□涉及個人資料數量
□本人受害的發生狀況
□對社會的影響或對隱私標章制度的影響
□過去的發生事故經歷
|
根據事實內容個別判斷1至10
|
|
不可抗力
|
不考量
|
0
|
處置裁定
依嚴重程度等級,判斷處置裁定類型。
|
處置等級
|
處置內容
|
|
取得標章組織
|
驗證中的組織
|
準備申請中的組織
|
|
10
|
終止組織對資料隱私保護標章之使用
|
中止驗證(一年內不得申請)
|
一年內不得申請
|
|
8、9
|
暫停組織對資料隱私保護標章之使用
|
相當於暫停標章使用期間的期間內中止驗證
|
相當於暫停標章使用期間的期間內不得申請
|
|
5至7
|
具體要求組織進行改善
|
繼續驗證
|
可申請
|
|
1至4
|
向該組織提出警告
|
繼續驗證
|
可申請
|
|
0
|
不採取任何處置
|
繼續驗證
|
可申請
|