臺灣個人資料保護與管理制度規範
驗證暨特定範圍驗證程序執行要點
修正與公告日期:2021年12月30日
0. 依據
- 本要點係依據「臺灣個人資料保護與管理制度維運規章」訂定。
1. 目的
- 為明確組織申請驗證、特定範圍驗證,及維運機構或驗證機構執行驗證或特定範圍驗證時之程序及其他相關事項,特訂定本要點。
2. 定義
- 本要點用語定義除下列外,均依「臺灣個人資料保護與管理制度維運規章」及「臺灣個人資料保護與管理制度規範(以下稱「本制度規範」)」之規定為準。
(1) 驗證:指以本制度規範為驗證標準,對組織所進行之驗證。
(2) 更新驗證:指於組織之資料隱私保護標章使用期間屆滿前,為瞭解組織之個人資料保護與管理制度之維運情形,經組織提出申請後所執行之更新驗證。
(3) 特定範圍驗證:指以本制度規範為驗證標準,對組織之一個或數個特定部門、區域或流程所涉及之個人資料相關作業或程序文件進行之驗證。
(4) 授證:指組織通過驗證及授證審查後,由維運機構同意組織使用資料隱私保護標章。
(5) 維運機構:指負責「臺灣個人資料保護與管理制度(以下稱「本制度」)」之建置、維運與推行之機構。
(6) 驗證機構:指經維運機構認可並登錄、公告之驗證機構。
(7) 組織:指公務機關或自然人以外之非公務機關。
(8) 書審:指驗證的第一階段;由維運機構或其所派定之驗證機構,針對組織之個人資料管理制度相關文件進行初步審閱。
(9) 實審:指驗證的第二階段;由維運機構或其所派定之驗證機構,至所擇定之組織營運或業務執行場所抽查組織之作業流程及個人資料管理制度文件與制度實際執行狀況。
(10) 驗證爭議:指對據以認定書審、實審或特定範圍驗證結果之事實所生之爭議。
3. 爭議處理
- (1) 就驗證爭議事項,組織應按下列規定,向實際為組織執行驗證之機構提出;如未依規定提出,視為無爭議:
- (a) 如為書審爭議,組織應於收受書審結果之翌日起五個工作日內以書面方式附理由提出。
- (b) 如為實審或特定範圍驗證爭議,組織應於實審或特定範圍驗證之閉幕會議上提出,如未能於閉幕會議解決爭議,組織應先請求實際為組織執行驗證之機構,於通知實審或特定範圍驗證結果之書面上載明或註記爭議項目,並於舉行閉幕會議之翌日起,五個工作日內以書面方式附理由提出。
- (2) 實際為組織執行驗證之機構應就爭議做出決定,並以書面通知組織。
(3) 組織對於前款之爭議如有疑義時,得向維運機構提出申訴。
(4) 爭議做出決定前,原書審、實審或特定範圍驗證結果不受影響。
4. 執行原則與保密
- 執行驗證,應秉持專業知識,避免利益衝突之情形並以獨立、公正、負責之態度為之;除因法令或本制度各規範所要求者外,對因執行驗證相關業務所知悉之組織之機密資訊應予保密。
5. 驗證申請
- 5.1. 申請資格
(1) 維運機構得接受於我國設有事務所、營業所或機關處所之組織就該事務所、營業所或機關處所所管理或涉及之業務申請驗證,惟如維運機構認為申請驗證之組織因其範圍、性質等不適宜之情形,或存在下列情事,維運機構得不接受組織之申請,或得暫緩驗證執行:
- (a) 申請驗證之組織曾接受實審,而未通過,其期間尚未屆滿六個月者。
- (b) 申請驗證之組織有「資料隱私保護標章dp.mark管理要點」所訂,暫停或終止資料隱私保護標章之使用之相當情事。
- (c) 申請驗證之組織,其負責人、代表人、經理人、執行業務董事或其他有代表權人,曾因違反個人資料保護相關法令而受刑罰之處罰,而其刑期或刑罰之執行尚未結束,或自執行結束之翌日起,尚未屆滿三年者。
- (d) 發生重大勞資糾紛或重大環境污染之情事,尚未改善者。
- (e) 組織或申請時之董事、監察人、總經理或實質負責人於最近三年內,有違反誠信原則之行為者。
- (2) 組織於提出驗證申請時,須據實聲明是否有5.1(1)(a)至(e)之情形,如所聲明內容與事實不符者,維運機構得駁回其申請或撤回驗證程序之執行;如驗證程序已完成,維運機構得撤銷驗證程序,組織所繳交之文件與費用不予退回;如組織已取得資料隱私保護標章,維運機構得撤銷授證程序及資料隱私保護標章之使用權,組織所繳交之文件與費用不予退回,且維運機構得公告撤銷之事由。
- (3) 組織應於驗證實審1個月前向維運機構提出驗證申請。
(4) 因天災或其他不可避之事故致組織不能進行驗證時,維運機構得實施必要措施,必要時並得延長本制度相關規範內所定之期間或期限,包含但不限於標章使用期間、期中查核、更新驗證或特定範圍驗證之期限。
- 5.2. 文件繳交
組織於提出驗證申請時,須一併繳交本制度所要求之各項文件。
- 5.3. 適用之驗證標準
本制度規範如有修正,於本制度規範修正公告日前已申請驗證之組織與既有標章組織至遲應於公告日後兩年內適用修正後之本制度規範作為驗證標準。本制度規範修正公告日後始申請驗證之組織應適用修正後之本制度規範作為驗證標準。
6. 書審
- (1) 維運機構於接受驗證申請及費用後,書審初審階段即可展開,並由維運機構或其所派定之驗證機構於書審初審審查完成後將結果以書面通知組織。
(2) 書審初審之結果為未通過者,6(1)之書面應載明未通過之理由。
(3) 組織未通過書審初審者,應於實際為組織執行驗證之機構所指定之期限內,或接獲6(1)書面之翌日起六十個工作日內,完成改善,始得申請書審複審。實際為組織執行驗證之機構於接受書審複審之申請後,書審複審階段即可展開,並由該機構於書審複審審查完成後將結果以書面通知組織。
(4) 書審複審之結果為未通過者,6(3)之書面應載明未通過之理由。
(5) 書審複審以一次為限。
7. 實審
- (1) 組織通過書審,與維運機構就實審之相關事項完成協議並於期限內繳納費用後,即進入實審初審階段。
(2) 於更新驗證之情形,如組織之個人資料管理制度相關程序無重大變更,則於組織提出更新驗證申請,並與維運機構就實審之相關事項完成協議並於期限內繳納費用後,即得逕進入實審初審階段。
(3) 實際為組織執行驗證之機構應於實審初審審查完成後,將實審初審結果以書面通知組織。
(4) 實審初審之結果為未通過者,7(3)之書面應載明未通過之理由。
(5) 組織未通過實審初審者,應於實際為組織執行驗證之機構所指定之期限內,或於組織接獲7(3)書面之翌日起六十日內完成改善,始得申請實審複審。
(6) 組織應與維運機構就實審複審之相關事項完成協議。
(7) 維運機構接受實審複審之申請,且組織已依期限繳納費用後,實審複審階段即得展開。
(8) 實際為組織執行驗證之機構應於審查完成後,將實審複審結果以書面通知組織。
(9) 實審複審之結果為未通過者,7(8)之書面應載明未通過之理由。
(10) 實審複審以一次為限。
8. 授證審核
- 驗證通過後,維運機構就驗證結果進行審核,並將審核結果通知組織;審核結果為不通過者,上述通知應以書面附理由為之。
9. 期中查核
- (1) 組織於取得資料隱私保護標章滿八個月至一年間,應接受維運機構或其所派定之驗證機構之期中查核。
(2) 期中查核依實審程序進行。
(3) 組織未通過期中查核者,應受維運機構依「資料隱私保護標章dp.mark管理要點」所為之處置。
10. 特定範圍驗證
- (1) 組織每年度得申請特定範圍驗證一次。
(2) 組織於提出特定範圍驗證之申請時,須據實聲明是否有5.1(1)(a)至(e)之情形,如所聲明內容與事實不符者,維運機構得駁回其申請或撤回特定範圍驗證之執行;如特定範圍驗證已完成,維運機構得撤銷特定範圍驗證,組織所繳交之文件與費用不予退回,且維運機構得公告撤銷之事由。
(3) 特定範圍驗證之部門、區域或流程之範圍確認,由維運機構與組織議定之;就組織通過特定範圍驗證之部份,維運機構得公告上述部門、區域或流程之範圍及其他相關情形
(4) 特定範圍驗證之執行由維運機構或其所派定之驗證機構依實審程序進行,並由實際為組織進行特定範圍驗證之機構於完成後,以書面通知組織特定範圍驗證之結果。
(5) 特定範圍驗證通過後,維運機構就結果進行審核,並將審核結果通知組織;審核結果為不通過者,上述通知應以書面附理由為之。
11. 費用之實施
- 維運機構如就驗證或特定範圍驗證相關事項收取費用時;其收取項目或數額,由維運機構公告後實施,修訂時亦同。
12. 要點之實施
- (1) 本要點由維運機構公告後實施,修訂時亦同。
(2) 本要點如經修正並公告實施後,應遵守修正實施後之規定。