1. 於不損及本規則設立之其他職務之前提下,各監管機關應於其領 域內:
(a) 監控及執行本規則之適用;
(b) 提升公眾對有關處理之風險、規則、保護措施及權利之意識及理 解。專門針對兒童之活動應受特別之注意;
(c) 依會員國法建議國會、政府及其他機關或機構,關於涉及處理之 當事人權利及自由保護之立法及行政措施;
(d) 提升控管者及處理者對其於本規則之義務之意識;
(e) 基於請求,提供關於本規則下權利行使之資料予任何資料主體, 若適合,與其他會員國之監管機關合作提供;
(f) 處理資料主體或機構、組織或協會依第 80 條之申訴,並適當程度 調查該申訴事項,於合理時間內通知申訴人調查之進度與結果,尤其 於進一步之調查或與其他監管機關之協調為必要時;
第 80 條 GDPR. 資料主體之代表
(g) 與其他監管機關合作,包括分享資訊及互助,以確保本規則適用 與執行之一致性;
(h) 執行本規則適用之調查,包括其他監管機關或其他公務機關所提 供資訊之基礎;
(i) 於相關發展影響個人資料之保護時監控之,尤其是資訊與通訊科 技與商業慣例之發展;
(j) 通過第 28 條第 8 項及第 46 條第 2 項第 d 點所稱之定型化契約條 款;
第 28 條 GDPR. 處理者
[…]
8. 監管機關得就本條第3項及第4項所定事項採用定型化契約條款, 並遵守第 63 條所定之一致性機制。
第 46 條 GDPR. 須遵守適當保護措施之移轉
2. 第 1項所稱之適當保護措施,於無監管機關為特定授權之情形下, 得以下列方式提供:
(d) 監管機關採行,並由執委會依第 93 條第 2 項之檢驗程序核准之 標準資料保護條款;
(k) 依第 35 條第 4 項設立並維持與資料保護影響評估之要求相關之 清單;
第 35 條 GDPR. 資料保護影響評估
4. 監管機關應建立並公布依第 1 項需要資料保護影響評估之處理類 型清單。監管機關應與第 68 條所稱之委員會溝通該清單。
(l) 提供第 36 條第 2 項所稱處理活動之建議;
第 36 條 GDPR. 事前諮詢
2. 當監管機關認為第 1 項所稱之處理將違反本規則,尤其是當控管 者未能完全指出或減低風險時,監管機關應於收受諮詢請求後 8 周內, 提供書面意見予控管者並視情形予處理者,並得行使其於第 58 條所 載之任何權力。該期間可因處理之複雜程度再延長 6 周。監管機關應 於收受諮詢請求後 1 個月內通知控管者並視情形通知處理者上開延 期情況及延期原因。該等期間得中止至監管機關取得提供諮詢所需之 資訊。
(m) 依第 40 條第 1 項鼓勵制定行為守則,並依第 40 條第 5 項提供意 見及核准提供充足保護措施之行為守則;
第 40 條 GDPR. 行為守則
1. 會員國、監管機關、委員會及執委會對於行為守則之訂立,應給 予鼓勵,以促進本規則之有效適用,並考量某些行業執行資料處理之 特定特徵及微型、中小型企業之特定需求。
5. 本條第 2 項所定欲備置行為守則或修改或擴張現存行為守則之組 織及其他機構,應將該行為守則草案、修正案或擴充案提交至第 55 條所定之主管監管機關。該監管機關應提供該草案、修正案或擴充案 是否符合本規則之意見,如其認為已提供充分且適當之保護措施者, 即應核准該草案、修正案或擴充案。
(n) 鼓勵依第 42 條第 1 項設立資料保護認證機制及資料保護標章與 標誌,並依 42 條第 5 項核准認證之標準;
第 42 條 GDPR. 認證
1. 會員國、監管機關、委員會及執委會應鼓勵,尤其係歐盟層級, 建立資料保護認證機制與資料保護標章及標誌,以證明控管者及處理 者之處理活動遵守本規則。微型及中小型企業之具體需求應予考慮。
5. 本條所定之認證應由認證機構依第 43條規定或主管監管機關依據 第 58 條第 3 項所核准之標準或由委員會依第 63 條規定為之。委員會 核准之標準得為通用性認證,即歐盟資料保護標章。
(o) 於得適用時,依第 42 條第 7 項定期檢驗頒發之認證;
7. 對控管者或處理者所為之認證,最長期限應為三年,且在相同要 件下並持續符合相關要求者,得更新之。第 43 條所定之認證機構或 主管監管機關(如適用)於欠缺認證要件或不再符合認證要件之情況 下,應撤回認證。
(p) 草擬並公布第 41 條監督行為守則之機構及第 43 條認證機構之認 證標準;
第 41 條 GDPR. 經核准之行為守則之監管
第 43 條 GDPR. 認證機構
(q) 進行第 41 條監督行為守則之機構及第 43 條認證機構之認證;
(r) 授權第 46 條第 3 項所稱之契約條款及規定;
3. 第 1項所稱之適當保護措施,於有主管監管機關為授權之情形下, 得以下列方式提供:
(a) 控管者或處理者與第三國或國際組織之個人資料控管者、處理者 或接收者間之契約條款;
(b) 納入包括可執行且有效之資料主體權利之公務機關或機構間行 政安排之條款。
(s) 依第 47 條核准有拘束力之企業守則;
第 47 條 GDPR. 有拘束力之企業守則
(t) 協助委員會之活動;
(u) 依第 58 條第 2 項保存違反規則及採取措施之內部紀錄;及
第 58 條 GDPR. 權力
2. 各監管機關應有下列全部之糾正權力:
(a) 當欲進行之資料處理可能會違反本規則之規定時,向控管者或處 理者發布警告;
(b) 當資料處理已違反本規則之規定時,對控管者或處理者發布告 誡;
(c) 命令控管者或處理者遵循資料主體行使其依本規則之權利的要 求;
(d) 命令控管者或處理者以適當之特定方法及於特定期間內使資料 處理符合本規則之規定;
(e) 命令控管者向資料主體通知個人資料之侵害;
(f) 課予暫時或終局之限制,包括對資料處理之禁令;
(g) 命令依第 16 條、第 17 條及第 18 條對個人資料之更正或刪除, 或對資料處理之限制,以及對個人資料依照第 17 條第 2 項及第 19 條 被揭露之接收者就該等行動之通知;
(h) 撤銷或命令認證機構撤銷依第 42 條及第 43 條所為之認證,或若 認證之要件不具備或不再具備時,命令認證機構不得核發認證;
(i) 依個案情形,額外或不以本項所提及之其他方式而依第 83 條處以 行政罰鍰;
(j) 命令對位於第三國之接收者或國際組織停止資料流通。
(v) 完成任何與個人資料保護相關之職務。
2. 各監管機關應透過諸如亦得單以電子方式完成而不須其他溝通方 式之申訴提交表格等方式,促進第 1 項第 f 點之申訴提交。
3. 各監管機關之職務行使不應向資料主體收取費用,且於得適用時, 亦不應向資料保護員收取之。
4. 於請求顯無理由或過量時,尤其於重複情形,監管機關得基於行 政成本收取合理費用,或拒絕處理請求。監管機關應負請求顯無理由 或請求過量之舉證責任。
Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30
(123) 監管機關應依照本規則監督各條款之適用,並致力於確保本規 則在全歐盟適用之一致性,以保護當事人關於其個人資料處理,並促 進個人資料在歐洲市場之自由流通。為達該目的,監管機關相互間及 其與執委會間應彼此合作,無須會員國間簽訂互助或該等合作條款之 任何協議。
(132) 監管機關對公眾所為喚起公眾意識之活動應包括針對控管者或處理者之特定措施,包括微型及中小型企業以及個人,特別是於教 育之脈絡下。
Forgot your password?
(EN) Subscribe to updated texts, invitations to GDPR events and news by Data Privacy Office
Lost your password? Please enter your email address. You will receive mail with link to set new password.
Back to login