Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30
(111) 於資料主體已明確同意時,以及於移轉基於契約或法律上主張 之必要而不具經常性時,不問係於訴訟、行政程序或任何法庭外程序, 包括管制機構前之程序,關於特定情況下移轉資料有其可能性之規定 應予制定。在基於歐盟法或會員國法所訂定之重要公益理由要求時, 或該移轉係來自法定登記且係為公眾或具正當利益之私人進行查詢 時,關於移轉資料有其可能性之規定亦應予制定。在後者之情形,該 移轉不應涵蓋全部之個人資料或該登記所涉及之全類別所含之全部 資料,且當該登記係為有正當利益之私人進行查詢時,移轉應僅在其 請求下進行,或若其為接收者,應完整考量資料主體之利益與基本 權。
(112) 該等例外尤應適用於受要求且基於公共利益之重要理由而有 必要之資料移轉,例如國際間主管機關、稅務或關務機關間、金融監 管機關之間、社會安全或公共衛生服務專責機關間之資料交換;例如 傳染病之接觸追蹤或為了降低並/或消除藥物濫用之情形。若資料主 體無法給予同意,於有必要保護資料主體之重要利益或其他人之重要 利益,包括身體完整性或生命時,個人資料之移轉亦應被視為合法。 在欠缺有充足保護程度之決定時,歐盟法或會員國法可能基於公共利 益之重要理由,明確限制特定類別之資料移轉至第三國或國際組織。 會員國應向執委會通知此種規定。任何於資料主體身體上或法律上無 能力給予同意下所為之個人資料移轉至國際人道組織,按照完成目前 在日內瓦公約之任務或遵循於武裝衝突時所適用之國際人道法的觀 點,可以被視為必要的公共利益之重要理由或因為其屬於資料主體之 重要利益。
(113) 當移轉係控管者為實現重大正當利益,且該利益並未劣後於資 料主體之利益或權利及自由,並且該控管者已評估有關該資料移轉之 所有情況者,合乎不具反覆性且僅涉及有限人數之資料主體之移轉亦 屬可行。該控管者應特別考量個人資料之性質、所提議單一或多個處 理活動之目的及持續期間以及起源國、第三國與最終目的地國之狀況, 且應就該等個人資料處理提供適當保護措施,以確保當事人之基本權 及自由。該等資料移轉應僅在其無其他得適用之合法性基礎之其餘案 例上始有適用之可能。為科學或歷史研究目的或統計目的,社會知識 增長之合理期待應被納入考量。控管者應將該移轉通知監管機關及資 料主體。
(EN)
EDPB, Guidelines 2/2018 on Derogations of Article 49 under Regulation 2016/679 (2018).
ICO, Guide on International Transfers (2019).
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 49 GDPR:
7.5.1 Identify basis for PII transfer between jurisdictions
Control
The organization should identify and document the relevant basis for transfers of PII between jurisdictions.
Implementation guidance
PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).
…
登入
访问全文