第 45 條 GDPR. 基於充足程度保護決定之移轉
[…]
3. 執委會於評估保護之充足程度後,得透過施行法決定第三國、第 三國內之領域或單一或多數之特定部門、或國際組織依本條第 2 項之 方式確保充足程度保護。施行法應提供定期檢驗機制,至少四年一次, 並應考量第三國或國際組織之所有相關發展。施行法應特定其適用之 領域及部門,且於得適用時,確認監管機關或本條第 2 項第 b 點所稱之機關。施行法應採行第 93 條第 2 項之檢驗程序。
[…]
(108) 在欠缺有提供充足保護之決定時,控管者或處理者應為資料主 體採取適當保護措施,以彌補第三國對資料保護之欠缺。該等適當保 護措施可能包括利用有拘束力之企業守則、執委會採用之標準資料保護條款、監管機關採用之標準資料保護條款或由監管機關授權之契約 條款。該等保護措施應確保符合資料保護之要求及資料主體之權利在 歐盟境內適當地處理,包括可實現之資料主體權利以及有效之法律救 濟,包括在歐盟內或第三國獲得有效的行政或司法救濟並請求補償。 該等適當保護措施尤應符合個人資料處理之基本原則及設計與預設 資料保護之原則。移轉之執行亦得由第三國之公務機關或公務機構向 第三國之公務機關或公務機構或具對應責任或功能之國際組織為之, 包括在規範基礎上加入諸如同意備忘錄、提供資料主體可執行且有效 權利等行政安排。保護措施係以不具法拘束力之行政安排所提供者, 應獲得有關監管機關之授權。
Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30
(108) 在欠缺有提供充足保護之決定時,控管者或處理者應為資料主 體採取適當保護措施,以彌補第三國對資料保護之欠缺。該等適當保 護措施可能包括利用有拘束力之企業守則、執委會採用之標準資料保護條款、監管機關採用之標準資料保護條款或由監管機關授權之契約 條款。該等保護措施應確保符合資料保護之要求及資料主體之權利在 歐盟境內適當地處理,包括可實現之資料主體權利以及有效之法律救 濟,包括在歐盟內或第三國獲得有效的行政或司法救濟並請求補償。 該等適當保護措施尤應符合個人資料處理之基本原則及設計與預設 資料保護之原則。移轉之執行亦得由第三國之公務機關或公務機構向 第三國之公務機關或公務機構或具對應責任或功能之國際組織為之, 包括在規範基礎上加入諸如同意備忘錄、提供資料主體可執行且有效 權利等行政安排。保護措施係以不具法拘束力之行政安排所提供者, 應獲得有關監管機關之授權。
(EN)
EDPS, Strategy for Union institutions, offices, bodies and agencies to comply with the ‘Schrems II’ Ruling (2020).
This document seeks to provide guidance as to the application of Articles 46 (2) (a) and 46 (3) (b) of the General Data Protection Regulation (GDPR) on transfers of personal data from EEA public authorities or bodies to public bodies in third countries or to international organisations, to the extent that these are not covered by an adequacy finding adopted by the European Commission.
EDPB, Government access to data in third countries (2022).
CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 46 GDPR:
7.5.1 Identify basis for PII transfer between jurisdictions
Control
The organization should identify and document the relevant basis for transfers of PII between jurisdictions.
Implementation guidance
PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).
…
Вход
за достъп до пълния текст