- 無須保留數據控制者記錄的企業(於2022年6月21日生效):
- 中小企業
- 社區企業
- 社會企業或社會企業集團
- 合作社或農業團體
- 基金會、協會、宗教組織或非營利組織
- 商戶
- 數據控制者的安全措施 (於2022年6月21日生效)
此措施必須至少遵守3個關鍵原則:
- 個人資料的保密性
- 個人資料的完整性
- 個人資料的可用性
本公告說明個人資料控制者有義務提供適當的安全措施。主要目的是防止個人資料的丟失、接觸、使用、更改、未經授權或濫用揭露,必須按照委員會制定的最低標準謹慎行事。個人資料保護通知是為了使個人資料的保護在執法初期更加恰當。
應不時審查和更新這些措施以遵守 PDPA。
- 維護個人資料處理活動記錄的規則和方法(“ROPA”)(自政府公報公告起 180 天生效)
- 數據處理者的名稱和資訊;
- 作為代表行事的數據控制者的名稱和資訊;
- 數據保護官 (DPO) 的姓名、資訊、聯繫方式以及聯繫DPO的方法;
- 數據處理者根據或代表數據控制者下達的命令收集、使用或披露個人資料時,收集個人資料的類型和目的;
- 個人資料將被發送或轉移到國外的情況下,個人資料轉移到的個人或企業的詳細資訊;
- 根據《個人資料保護法》第40條第1 (2) 款規定的安全措施詳細資訊。
數據處理者必須按照個人資料保護法規定準備和維護個人數據處理活動的書面記錄,可以以書面或電子方式進行。此類個人數據處理活動的記錄應易於接觸,並應能夠在該機構提出要求時顯示給個人數據保護委員會辦公室或其他相關機構以供快速審查。
- 行政處罰規定(於2022年6月21日生效)
- 行政命令緊急執行通知方式;
- 決定行政處罰的關鍵因素,如違法情節的細節和嚴重程度、業務規模、損害程度、賠償;
- 發布命令對嚴重和非嚴重違規行為處以行政罰款的考慮因素;
- 授權任命行政處分人員;
- 授權扣押或凍結包括拍賣未在規定時間內支付罰款的數據控制者的財產。
