第 46 條 📖 GDPR. 須遵守適當保護措施之移轉

第 46 條 GDPR. 須遵守適當保護措施之移轉

1. 於欠缺第 45 條第 3 項之決定時，控管者或處理者僅於其提供適當保護措施，且資料主體之權利得為執行，並具備有效權利救濟時，始得移轉個人資料至第三國或國際組織。

第 45 條 GDPR. 基於充足程度保護決定之移轉

[…]

3. 執委會於評估保護之充足程度後，得透過施行法決定第三國、第三國內之領域或單一或多數之特定部門、或國際組織依本條第 2 項之方式確保充足程度保護。施行法應提供定期檢驗機制，至少四年一次，並應考量第三國或國際組織之所有相關發展。施行法應特定其適用之領域及部門，且於得適用時，確認監管機關或本條第 2 項第 b 點所稱之機關。施行法應採行第 93 條第 2 項之檢驗程序。

[…]

2. 第 1項所稱之適當保護措施，於無監管機關為特定授權之情形下，得以下列方式提供：

献技

(108) 在欠缺有提供充足保護之決定時，控管者或處理者應為資料主體採取適當保護措施，以彌補第三國對資料保護之欠缺。該等適當保護措施可能包括利用有拘束力之企業守則、執委會採用之標準資料保護條款、監管機關採用之標準資料保護條款或由監管機關授權之契約條款。該等保護措施應確保符合資料保護之要求及資料主體之權利在歐盟境內適當地處理，包括可實現之資料主體權利以及有效之法律救濟，包括在歐盟內或第三國獲得有效的行政或司法救濟並請求補償。該等適當保護措施尤應符合個人資料處理之基本原則及設計與預設資料保護之原則。移轉之執行亦得由第三國之公務機關或公務機構向第三國之公務機關或公務機構或具對應責任或功能之國際組織為之，包括在規範基礎上加入諸如同意備忘錄、提供資料主體可執行且有效權利等行政安排。保護措施係以不具法拘束力之行政安排所提供者，應獲得有關監管機關之授權。

(109) 控管者或處理者使用執委會採用或監管機關採用之定型化資料保護條款的可能性，應避免控管者或處理者將定型化資料保護條款擴張適用於更廣泛之契約，例如處理者與其他處理者間之契約，亦應避免以增訂其他條款或額外保護措施而直接或間接牴觸執委會或監管機關所採用之定型化契約條款，或侵害資料主體之基本權或自由。控管者與處理者應被鼓勵透過補充定型化保護條款之契約上承諾來提供額外保護措施。

(a) 與公務機關或機構間有法律拘束力且得執行之辦法；

指南和案例法

(EN)

Document

EDPB, Guidelines 2/2020 on Articles 46(2)(a) and 46(3)(b) of Regulation 2016/679 for Transfers of Personal Data Between EEA and Non-EEA Public Authorities and Bodies (2020).

(b) 第 47 條之有拘束力之企業守則；

第 47 條 GDPR. 有拘束力之企業守則

(c) 執委會依第 93 條第 2 項之檢驗程序採行之標準資料保護條款；

指南和案例法相关文章

指南和案例法

(EN) FAQs in order to address some issues raised by the entry into force of the EU Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC- WP 176 (57 kB) (12.07.2010)

EU controller to non-EU or EEA controller

EU controller to non-EU or EEA processor

decision 2010/87/EU

第 93 條 GDPR. 執委會之程序

[…]

2. 於本項情形，歐盟規則第 182/2011 號第 5 條應適用之。

[…]

(d) 監管機關採行，並由執委會依第 93 條第 2 項之檢驗程序核准之標準資料保護條款；

第 93 條 GDPR. 執委會之程序

[…]

2. 於本項情形，歐盟規則第 182/2011 號第 5 條應適用之。

[…]

(e) 依第 40 條經核准之行為守則，及第三國之控管者或處理者有拘束力且可執行之協約，以適用適當保護措施，包括關於資料主體之權利；或

第 40 條 GDPR. 行為守則

(f) 依第 42 條經核准之驗證機制，及第三國之控管者或處理者有拘束力且可執行之協約，以適用適當保護措施，包括關於資料主體之權利。

第 42 條 GDPR. 認證

3. 第 1項所稱之適當保護措施，於有主管監管機關為授權之情形下，得以下列方式提供：

(a) 控管者或處理者與第三國或國際組織之個人資料控管者、處理者或接收者間之契約條款；

(b) 納入包括可執行且有效之資料主體權利之公務機關或機構間行政安排之條款。

指南和案例法

(EN)

Document

EDPB, Guidelines 2/2020 on Articles 46(2)(a) and 46(3)(b) of Regulation 2016/679 for Transfers of Personal Data Between EEA and Non-EEA Public Authorities and Bodies (2020).

4. 於本條第 3 項之情形，監管機關應遵循第 63 條之一致性機制。

第 63 條 GDPR. 一致性機制

為有助於本規則於歐盟境內一致之適用，監管機關應透過本節所規定之一致性機制互相合作，並斟酌情形與執委會合作。

5. 會員國或監管機關依歐盟指令第 95/46/EC 號第 26條第 2項之授權，於監管機關認有必要而修改、取代或廢除前，應持續有效。依歐盟指令第 95/46/EC 號第 26 條第 4 項之決定，於執委會認有必要而依本條第 2 項決定修改、取代或廢除前，應持續有效。

通用数据保护条例(EU GDPR)

Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30

ISO 27701 献技指南和案例法发表评论

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 46 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).

…

登入
访问全文

献技

指南和案例法

(EN)

Documents

EDPB, Guidelines 2/2020 on Articles 46(2)(a) and 46(3)(b) of Regulation 2016/679 for Transfers of Personal Data Between EEA and Non-EEA Public Authorities and Bodies (2020).

EDPB, Guidelines 3/2020 on the Processing of Data Concerning Health for the Purpose of Scientific Research in the Context of the Covid-19 Outbreak (2020).

EDPS, Strategy for Union institutions, offices, bodies and agencies to comply with the ‘Schrems II’ Ruling (2020).

EDPB, Guidelines 2/2020 on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies (2020).

This document seeks to provide guidance as to the application of Articles 46 (2) (a) and 46 (3) (b) of the General Data Protection Regulation (GDPR) on transfers of personal data from EEA public authorities or bodies to public bodies in third countries or to international organisations, to the extent that these are not covered by an adequacy finding adopted by the European Commission.

EDPB, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (2021).

EDPB, Guidelines 2/2020 on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies (2020).

EDPB, Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR (2021).

EDPB, Government access to data in third countries (2022).