(104) 依循歐盟所創立之基本價值,尤其是人權之保護,執委會在其 衡量第三國或第三國內之領域或特定部門時,應考量特定第三國如何 遵守法治、接近使用司法、以及國際人權規範和標準及其普通法與部 門法,包括涉及公共安全、防禦與國家安全與公共秩序及刑法之立法。 對第三國內之領域或特定部門作成有提供充足保護之決定應考量明 確與具體之標準,例如特定處理活動及第三國可適用之法律標準與立法之範圍。第三國應提供保證,以確保基本上等同於歐盟所保障之充 足程度保護,特別是當個人資料處理在單一或數個特定部門時。尤其, 第三國應確保有效而獨立之資料保護監督機制,且應提供合作機制予 會員國資料保護機關,且應提供資料保護主體有效且可實現的權利與 有效的行政與司法救濟。
(a) 法治、對人權與基本自由之尊重、一般與部門之相關立法,包括 有關公共安全、防衛、國家安全及刑法、公務機關對個人資料之接近 使用權、及該等立法、資料保護規則、專業規則及安全措施之執行, 包括個人資料向其他第三國或國際組織進一步移轉,該其他第三國或 國際組織之規則、判例法、及有效且可執行之資料主體權利及個人資 料受移轉之資料主體有效之行政與司法救濟;
(106) 執委會應觀察審視第三國、第三國境內之領域或特定部門、或 國際組織保護程度之決定的運作,並觀察審視在歐盟指令第 95/46/EC 號第 25 條第 6 項及第 26 條第 4 項之基礎下採行之決定。就有提供充 足保護之決定,執委會應提供定期檢驗其運作之機制。該定期檢驗應 在諮詢有關之第三國或國際組織下進行,且考量所有相關第三國或國 際組織之發展。為了觀察審視與執行定期檢驗,執委會應考慮歐洲議 會及歐盟理事會以及相關機構與來源之意見與認定。執委會應在合理 時間內評估前次決定之運作情形,並如本規則所確立的,依歐洲議會 及歐盟理事會之歐盟規則第 182/2011 號 [12],向委員會報告任何相關 認定。
[12] Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by Member States of the Commission's exercise of implementing powers (OJ L 55, 28.2.2011, p. 13). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:055:TOC
Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30
(103)執委會得做成影響全歐盟之決定,認定第三國、第三國內之領 域或特定部門,或國際組織已提供充足程度之資料保護,並因此就第 三國或國際組織被認為已提供該保護程度乙事在整個歐盟提供了法 明確性和一致性。於該等情形,個人資料移轉至第三國或國際組織可 能在不需要獲得進一步授權之情形下發生。於給予第三國或國際組織 通知及說明理由之完全陳述時,執委會亦可決定撤銷原決定。
(104) 依循歐盟所創立之基本價值,尤其是人權之保護,執委會在其 衡量第三國或第三國內之領域或特定部門時,應考量特定第三國如何 遵守法治、接近使用司法、以及國際人權規範和標準及其普通法與部 門法,包括涉及公共安全、防禦與國家安全與公共秩序及刑法之立法。 對第三國內之領域或特定部門作成有提供充足保護之決定應考量明 確與具體之標準,例如特定處理活動及第三國可適用之法律標準與立法之範圍。第三國應提供保證,以確保基本上等同於歐盟所保障之充 足程度保護,特別是當個人資料處理在單一或數個特定部門時。尤其, 第三國應確保有效而獨立之資料保護監督機制,且應提供合作機制予 會員國資料保護機關,且應提供資料保護主體有效且可實現的權利與 有效的行政與司法救濟。
(105) 除了第三國或國際組織已加入之國際協約,執委會應考量第三 國或國際組織於多邊或區域體系之義務,尤其是涉及個人資料保護及 該等義務之履行。尤其,應考量第三國加入歐洲理事會 1981 年 1 月 28 日關於自動化個人資料處理之個人保護公約及其附加議定書。於 衡量第三國或國際組織之保護程度時,執委會應向委員會諮詢。
(106) 執委會應觀察審視第三國、第三國境內之領域或特定部門、或 國際組織保護程度之決定的運作,並觀察審視在歐盟指令第 95/46/EC 號第 25 條第 6 項及第 26 條第 4 項之基礎下採行之決定。就有提供充 足保護之決定,執委會應提供定期檢驗其運作之機制。該定期檢驗應 在諮詢有關之第三國或國際組織下進行,且考量所有相關第三國或國 際組織之發展。為了觀察審視與執行定期檢驗,執委會應考慮歐洲議 會及歐盟理事會以及相關機構與來源之意見與認定。執委會應在合理 時間內評估前次決定之運作情形,並如本規則所確立的,依歐洲議會 及歐盟理事會之歐盟規則第 182/2011 號 [12],向委員會報告任何相關 認定。
[12] Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by Member States of the Commission's exercise of implementing powers (OJ L 55, 28.2.2011, p. 13). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:055:TOC
(EN)
Article 29 Working Party, Adequacy Referential (2018).
EDPS, Strategy for Union institutions, offices, bodies and agencies to comply with the ‘Schrems II’ Ruling (2020).
EDPB, Recommendations 1/2021 on the Adequacy Referential under the Law Enforcement Directive (2021).
CJEU, Schrems/Data Protection Commissioner, C-362/14 (2015).
CJEU, Draft Agreement between Canada and the European Union, opinion 1/15 (2017).
CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 45 GDPR:
7.5.1 Identify basis for PII transfer between jurisdictions
Control
The organization should identify and document the relevant basis for transfers of PII between jurisdictions.
Implementation guidance
PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).
(EN) […]
(EN) Sign in
to read the full text